MS03-007: Неограниченный буфер в компоненте Microsoft Windows 2000 может привести к несанкционированному доступу к веб-серверу

Переводы статьи Переводы статьи
Код статьи: 815021 - Vizualiza?i produsele pentru care se aplic? acest articol.
Данная статья была впервые опубликована корпорацией Microsoft 17 марта 2003 г. На тот момент корпорация Microsoft была осведомлена о наличии уязвимого места, которое было использовано для атаки на системы Windows 2000 Servers с работающими службами IIS 5.0. Целью атаки в этом случае служил WebDAV, хотя основным уязвимым местом был внутренний компонент операционной системы Ntdll.dll. Вскоре после этого корпорация Microsoft выпустила исправление, призванное защитить пользователей Windows 2000, и продолжала исследовать причину уязвимости. В Windows NT 4.0 также имеется этот изъян Ntdll.dll, однако эта операционная система не поддерживает WebDAV, поэтому известная атака против Windows NT 4.0 неэффективна. В настоящее время корпорация Microsoft выпустила исправления для Windows NT 4.0. Кроме того, недавно корпорация Microsoft обнаружила такое же уязвимое место в Windows XP. Однако, как и в случае с Windows NT 4.0, Windows XP не устанавливает по умолчанию службы IIS (Internet Information Services). 28 мая 2003 г. Microsoft выпустила исправления Windows XP и Windows XP с пакетом обновления 1 (SP1).

Внимание! Если вы работаете с системой Windows 2000 с установленным пакетом обновления 2 (SP2), вы должны проверить версию файла Ntoskrnl.exe в системе перед установкой исправления. Для этого выполните следующие действия.
  1. Откройте папку %Windir%\System32.
  2. Правой кнопкой мыши щелкните файл Ntoskrnl.exe, выберите в контекстном меню пункт Свойства и перейдите на вкладку Версия.
Версии файла Ntoskrnl.exe с 5.0.2195.4797 по 5.0.2195.4928 несовместимы с данным исправлением. Указанные версии поставлялись только в составе исправлений, выпускавшихся службами поддержки продуктов Microsoft. Если вы установите обновление, описываемое в настоящей статье, на компьютер, где Ntoskrnl.exe имеет версию с 5.0.2195.4797 по 5.0.2195.4928, компьютер перестанет отвечать на запросы и сформулирует при перезагрузке аварийное сообщение «Stop 0x00000071». В таком случае будет необходимо провести восстановление системы с помощью консоли восстановления Windows 2000 и извлечь копию библиотеки Ntdll.dll, расположенную в папке Winnt\$NTUninstallQ815021$.

Для обновления компьютера, имеющего версию файла Ntoskrnl.exe, распространяемую в составе исправлений служб поддержки продуктов, предварительно свяжитесь со службой поддержки продуктов Microsoft. Полный список телефонов служб поддержки, а также условия обслуживания доступны на веб-узле Microsoft по следующему адресу:
http://support.microsoft.com/selectassist
Вы можете также обновить систему до Windows 2000 с пакетом обновления 3 (SP3) перед установкой исправления.
Развернуть все | Свернуть все

В этой статье

Проблема

Операционные системы MS Windows 2000 и MS Windows NT 4.0 поддерживают протокол WebDAV (World Wide Web Distributed Authoring and Versioning). Согласно документу RFC 2518, протокол WebDAV — это набор расширений протокола HTTP (Hyper Text Transfer Protocol), обеспечивающий стандарт редактирования и управления файлами на компьютерах в Интернете. Для просмотра документа RFC 2518 обратитесь к веб-сайту RFC:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Корпорация Microsoft обеспечивает пользователей контактной информацией сторонних производителей для облегчения получения технической поддержки. Данная информация может быть изменена без предварительного уведомления. Корпорация Microsoft не дает никаких явных или подразумеваемых гарантий относительно корректности приведенной контактной информации о независимых производителях.

Существует уязвимость в системе безопасности компонента Windows, который используется WebDAV. Причиной данной уязвимости является непроверяемый буфер компонента.

Злоумышленник может использовать данную уязвимость, посылая специально сформированный HTTP-запрос на компьютер с установленными службами Microsoft Internet Information Services (IIS)/ Запрос может привести к выходу из строя сервера или запуску любого кода злоумышленника . Код запускается в контексте безопасности службы IIS. (По умолчанию, служба IIS запускается от имени учетной записи «Локальный компьютер»).

Компания Microsoft выпустила исправление для устранения описанного уязвимого места и рекомендует установить его незамедлительно, однако при этом предлагаются дополнительные средства и превентивные меры, позволяющие предотвратить использование данной уязвимости до окончания проверки влияния и совместимости исправления. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
816930 MS02-007: Как получить временное решение проблемы уязвимости Windows 2000, описанной в статье 815021

Факторы, снижающие опасность

  • По умолчанию конфигурация URLScan предотвращает использование данной уязвимости. URLScan — это часть средства IIS Lockdown. За дополнительной информацией об URLScan обратитесь к веб-узлу корпорации Microrsoft по адресу:
    http://www.microsoft.com/technet/security/URLScan.asp
    За дополнительной информацией о средстве IIS Lockdown обратитесь к веб-узлу:
    http://www.microsoft.com/technet/security/alerts/info/via.mspx
  • Уязвимость может быть использована только удаленно, если злоумышленник сможет установить веб-сеанс с незащищенным сервером.

Решение

Сведения о пакете обновления

Windows 2000

Чтобы решить проблему, найдите последнюю версия пакета обновления для Microsoft Windows 2000. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
260910 Как получить последний пакет исправлений для Microsoft Windows 2000

Сведения об исправлении безопасности

Windows XP

Сведения о загрузке
Загрузите следующие файлы с веб-узла центра загрузки Microsoft:

Windows XP (все версии)
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Windows XP (64-разрядная версия)
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Дата выпуска: 28 мая 2003

За дополнительной информацией о загрузке файлов с узла центра загрузки Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.
Необходимые условия

Для установки пакета исправления требуется официальная версия Windows XP или Windows XP с пакетом обновления 1 (SP1). За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
322389 How to Obtain the Latest Windows XP Service Pack
Сведения об установке

При запуске программы установки можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать архивные копии удаляемых файлов.
  • /o Заменять файлы OEM без выдачи запроса.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
  • /l Привести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Например, для установки обновления без вывода пользовательского интерфейса и без автоматической перезагрузки компьютера после установки используйте следующую команду:
q815021_wxp_sp2_x86_rus /u /q /z
Для проверки наличия данного обновления в системе убедитесь в существовании следующего раздела системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Сведения об удалении

Для удаления исправления воспользуйтесь средством панели управления Установка и удаление программ.

Чтобы удалить исправление, системные администраторы могут использовать утилиту Spuninst.exe. Spuninst.exe располагается в папке %Windir%\$NTUninstallQ815021$\Spuninst и поддерживает следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки обновления, поскольку Ntdll.dll является частью ядра системы и загружается при запуске системы. Пока не выполнена перезагрузка, компьютер остается уязвимым.

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (По Гринвичу). При просмотре Вами сведений о файле в системе происходит перевод соответствующих значений в Ваше местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать закладку Часовой пояс элемента Панели управления «Дата и время».

Windows XP
   Дата         Время   Версия          Размер    Путь и имя файла
   ---------------------------------------------------------------------------------
   02-May-2003  15:03   5.1.2600.114    651,264   %Windir%\System32\Ntdll.dll  pre-SP1
   01-May-2003  20:56   5.1.2600.1217   654,336   %Windir%\System32\Ntdll.dll  with SP1

Windows XP (64-разрядная версия)
   Дата         Время    Версия         Размер     Путь и имя файла
   ------------------------------------------------------------------------------------
   02-May-2003  15:03    5.1.2600.114   1,498,112  %WinDir%\System32\Ntdll.dll   pre-SP1
   01-May-2003  14:57    5.1.2600.114   654,336    %WinDir%\System32\Wntdll.dll   pre-SP1
   01-May-2003  20:56    5.1.2600.1217  1,508,864  %WinDir%\System32\Ntdll.dll   with SP1
   30-Apr-2003  21:43    5.1.2600.1217  657,408    %WinDir%\System32\Wntdll.dll   with SP1
Вы также можете проверить файлы, установленные данным обновлением, просмотрев следующий раздел реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Сведения о загрузке

Загрузите следующие файлы с веб-узла центра загрузки Microsoft:

Для всех языков кроме японского (NEC)
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Японский (NEC):
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Дата выпуска: 17 марта 2003 г.

За дополнительной информацией о загрузке файлов с узла центра загрузки Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение. Необходимые условия

Для установки данного обновления требуется Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3). За дополнительной информацией о получении последней версии пакета обновления обратитесь к следующей статье Microsoft Knowledge Base:
260910 Как получить последний пакет исправлений для Microsoft Windows 2000
Примечание. Перед использованием пакета обновлений Windows 2000 Service Pack 2 (SP2) обратите внимание на предупреждение, помещенное в начале этой статьи.

Сведения об установке

При запуске программы установки можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать архивные копии удаляемых файлов.
  • /o Заменять файлы OEM без выдачи запроса.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
  • /l Привести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Например, для установки обновления без вывода пользовательского интерфейса и без автоматической перезагрузки компьютера после установки используйте следующую команду:
q815021_w2k_sp4_x86_ru /u /q /z
Для проверки наличия данного обновления в системе убедитесь в существовании следующего раздела системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Сведения об удалении

Вы можете удалить данное обновление, используя элемент панели управления «Установка и удаление программ» для удаления «Windows 2000 Hotfix (SP4) Q815021».

Чтобы удалить исправление, системные администраторы могут использовать утилиту Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB819696$\Spuninst, и при ее запуске можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки обновления, поскольку Ntdll.dll является частью ядра системы и загружается при запуске системы. Пока не выполнена перезагрузка, компьютер остается уязвимым.

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (По Гринвичу). При просмотре Вами сведений о файле в системе происходит перевод соответствующих значений в Ваше местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать закладку Часовой пояс элемента Панели управления «Дата и время».

   Дата         Время  Версия         Размер   Путь и имя файла
   -----------------------------------------------------------------------
   15-Mar-2003  01:23  5.0.2195.6685  476,944  %Windir%\System32\Ntdll.dll

Вы можете также убедиться, что исправления установлены, проверив следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (Все версии)

Microsoft Internet Information Server (IIS) не поддерживается и не предназначен для использования с Windows NT Server 4.0, Terminal Server Edition. Корпорация Microsoft рекомендует заказчикам, использующим IIS 4.0 с Windows NT Server 4.0, Terminal Server Edition, защитить их системы, удалив IIS 4.0.

Сведения о загрузке

Загрузите следующие файлы с веб-узла центра загрузки Microsoft:

Windows NT 4.0

Все языки за исключением японского (NEC) и китайского (Гонконг):
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Японский (NEC):
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Китайский (Гонконг):
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Windows NT Server 4.0, Terminal Server Edition

Все языки:
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет 815021
Дата выпуска: 23 апреля 2003 г.

За дополнительной информацией о загрузке файлов с узла центра загрузки Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Необходимые условия

Для установки исправления требуется система Windows NT 4.0 с пакетом обновления 6a (SP6a) или Windows NT Server 4.0, Terminal Server Edition с пакетом обновления 6 (SP6). За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
152734 How to Obtain the Latest Windows NT 4.0 Service Pack


Сведения об установке

При запуске программы установки можно использовать следующие параметры командной строки.
  • /y Выполнить удаление (только с параметрами /m и /q).
  • /f Закрыть программы при завершении работы.
  • /n Не создавать папку Uninstall.
  • /z Не перезагружать после завершения установки обновления.
  • /q Скрытый или автоматический режим без интерфейса пользователя. (Этот параметр является расширенным вариантом /m.)
  • /m Автоматический режим с интерфейсом пользователя.
  • /l Привести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Чтобы убедиться, что исправление установлено, проверьте, создан ли следующий раздел реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Например, для установки обновления без вывода пользовательского интерфейса и без автоматической перезагрузки компьютера после установки используйте следующую команду:
rus_q815021i /q /z
Сведения об удалении

Для удаления исправления безопасности воспользуйтесь средством панели управления «Установка и удаление программ».

Чтобы удалить исправление, системные администраторы могут использовать утилиту Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB819696$\Spuninst, и при ее запуске можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки обновления, поскольку Ntdll.dll является частью ядра системы и загружается при запуске системы. Пока не выполнена перезагрузка, компьютер остается уязвимым.

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (По Гринвичу). При просмотре Вами сведений о файле в системе происходит перевод соответствующих значений в Ваше местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать закладку Часовой пояс элемента Панели управления «Дата и время».

   Дата         Время   Версия           Размер      Путь и имя файла             ОС
   ----------------------------------------------------------------------------------------
   24-Mar-2003  10:38   4.0.1381.7212    367,376     %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-Mar-2003  07:12   4.0.1381.33546   369,936     %WinDir%\System32\Ntdll.dll  TSE

Статус

Данное поведение является подтвержденной уязвимостью продуктов Microsoft, перечисленных в начале данной статьи.

Только для Windows 2000

Первое исправление этой проблемы появилось в пакете обновления 4 (SP4) для Microsoft Windows 2000.

Дополнительная информация

Более подробную информацию об этой уязвимости см. на веб-узле корпорации Microrsoft по адресу:
http://www.microsoft.com/technet/security/bulletin/MS03-030.asp


Пользователи многопроцессорных компьютеров должны запустить средство MBSA (Microsoft Baseline Security Analyzer) с параметром /nosum для отмены проверки контрольных сумм. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.1.1

Свойства

Код статьи: 815021 - Последний отзыв: 1 декабря 2007 г. - Revision: 13.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows 2000 Advanced Server
  • Операционная система Microsoft Windows 2000 Professional
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
Ключевые слова: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com