MS03-007: Oskyddad buffert i Windows-komponent kan medföra problem på webbserver

Artikelöversättning Artikelöversättning
Artikel-id: 815021 - Visa produkter som artikeln gäller.
Denna artikel publicerades första gången den 17 mars 2003. Vid detta tillfälle kände Microsoft till en allmänt tillgänglig skadlig kod som användes för angrepp på Windows 2000-servrar med IIS 5.0. I detta fall var angreppspunkten WebDAV, även om det underliggande säkerhetsproblemet låg i en central komponent i operativsystemet, Ntdll.dll. Microsoft släppte kort därefter en korrigeringsfil för att skydda kunder med Windows 2000, men fortsatte att undersöka det underliggande säkerhetsproblemet. Windows NT 4.0 innehåller också det underliggande säkerhetsproblemet i Ntdll.dll, men eftersom Windows NT 4.0 inte stöder WebDAV hade koden ingen verkan. Microsoft har nu släppt korrigeringsfiler för Windows NT 4.0. Dessutom har Microsoft nyligen fått kännedom om detta säkerhetsproblem i Windows XP. IIS (Internet Information Services) installeras emellertid inte heller i Windows XP som standard. Den 28 maj 2003 släppte Microsoft en korrigeringsfil för Windows XP och Windows XP Service Pack 1.

Varning! Om du använder Windows 2000 Service Pack 2 (SP2) måste du kontrollera vilken version av Ntoskrnl.exe som finns på datorn, innan du installerar denna korrigeringsfil. Gör så här:
  1. Öppna mappen %Windir%\System32.
  2. Högerklicka på filen Ntoskrnl.exe, klicka på Egenskaper och klicka sedan på fliken Version.
Versioner av Ntoskrnl.exe från 5.0.2195.4797 till 5.0.2195.4928 är inte kompatibla med denna korrigeringsfil. Dessa versioner har endast distribuerats med snabbkorrigeringar från Microsoft Produktsupport. Om du installerar den korrigeringsfil som beskrivs i denna artikel på en dator med en version av Ntoskrnl.exe från 5.0.2195.4797 till 5.0.2195.4928 slutar datorn svara, och meddelandet "Stop 0x00000071" visas när du startar om den. Om detta inträffar måste du återställa Windows-installationen med hjälp av Återställningskonsolen för Windows 2000 och säkerhetskopian av filen Ntdll.dll i mappen Winnt\$NTUninstallQ815021$.

Om du vill uppdatera en dator där det finns en version av Ntoskrnl.exe som har distribuerats av Microsoft Produktsupport, måste du först kontakta Microsoft Produktsupport innan du installerar denna korrigeringsfil. En fullständig lista över telefonnummer till Microsoft Produktsupport och information om supportkostnader finns på följande Microsoft-webbplats:
http://support.microsoft.com/selectassist
Du kan också uppgradera till Windows 2000 Service Pack 3 (SP3) innan du installerar denna korrigeringsfil.
Visa alla | Dölj alla

På den här sidan

Symptom

Windows 2000 stöder WebDAV-protokollet (World Wide Web Distributed Authoring and Versioning). Enligt beskrivningen i RFC 2518 är WebDAV en uppsättning tillägg till HTTP (Hypertext Transfer Protocol) som utgör en standard för redigering och filhantering mellan datorer på Internet. RFC 2518 finns på följande RFC-webbplats:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna information kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.

Det finns ett säkerhetsproblem i en Windows-komponent som används av WebDAV. Problemet beror på att komponenten innehåller en oskyddad buffert.

En angripare kan utnyttja säkerhetsproblemet genom att skicka en särskilt utformad HTTP-begäran till en dator med Microsoft IIS (Internet Information Services). Denna begäran kan medföra att servern upphör att fungera eller att angriparens kod körs. Koden körs i säkerhetskontexten för IIS-tjänsten. (Som standard körs IIS-tjänsten i LocalSystem-kontexten.)

Även om Microsoft tillhandahåller en korrigeringsfil för detta säkerhetsproblem och rekommenderar att du installerar den omedelbart, finns det ytterligare verktyg och förebyggande åtgärder som kan förhindra att någon utnyttjar säkerhetsproblemet medan du utvärderar korrigeringsfilens konsekvenser och kompatibilitet. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
816930 MS03-007: How to Work Around the Vulnerability That Is Discussed in Microsoft Knowledge Base Article 815021

Begränsande faktorer

  • Standardkonfigurationen i URLScan förhindrar att säkerhetsproblemet utnyttjas. URLScan ingår i verktyget IIS Lockdown. Ytterligare information om URLScan finns på följande Microsoft-webbplats:
    http://www.microsoft.com/technet/security/URLScan.asp
    Mer information om IIS Lockdown finns på följande webbplats:
    http://www.microsoft.com/technet/security/tools/locktool.mspx
  • Säkerhetsproblemet kan endast utnyttjas från en annan dator om en angripare kan upprätta en webbsession med en angripen server.

Lösning

Information om service pack

Windows 2000

Lös problemet genom att skaffa senaste service pack för Microsoft Windows 2000. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
260910 How to Obtain the Latest Windows 2000 Service Pack

Information om säkerhetskorrigeringen

Windows XP

Information om hämtning
Följande filer kan hämtas från Microsoft Download Center:

Windows XP (alla språk)
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Windows XP 64-bitarsversion
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Utgivningsdatum: 28 maj 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.
Förutsättningar

Denna korrigeringsfil kräver den släppta versionen av Windows XP eller Windows XP Service Pack 1 (SP1). Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
322389 How to Obtain the Latest Windows XP Service Pack
Installationsinformation

Denna korrigeringsfil stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q: Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Om korrigeringsfilen till exempel ska installeras utan några åtgärder från användaren, och datorn inte måste startas om, använder du följande kommandorad:
q815021_wxp_sp2_x86_enu /u /q /z
Du kan kontrollera om korrigeringsfilen är installerad på datorn genom att ta reda på om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Information om borttagning

Ta bort uppdateringen med verktyget Lägg till/ta bort programKontrollpanelen.

Systemadministratörer kan ta bort korrigeringsfilen med verktyget Spunist.exe. Spuninst.exe finns i mappen %Windir%\$NTUninstallQ815021$\Spuninst och stöder följande installationsväxlar:
  • /? : Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q: Använd tyst läge (inga användaråtgärder).
Krav på omstart

Du måste starta om datorn efter installation av denna uppdatering, eftersom Ntdll.dll är en kärnbinärfil för systemet som laddas under systemstart. Datorn är sårbar tills den startas om.

Filinformation

Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). När du visar filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Windows XP
   Datum         Tid   Version        Storlek     Sökväg och filnamn
   ---------------------------------------------------------------------------------
   02-maj-2003  15:03  5.1.2600.114   651 264  %Windir%\System32\Ntdll.dll  pre-SP1
   01-maj-2003  20:56  5.1.2600.1217  654 336  %Windir%\System32\Ntdll.dll  with SP1

Windows XP 64-bitarsversion
   Datum         Tid   Version        Storlek       Sökväg och filnamn
   ------------------------------------------------------------------------------------
   02-maj-2003  15:03  5.1.2600.114   1 498 112  %WinDir%\System32\Ntdll.dll   pre-SP1
   01-maj-2003  14:57  5.1.2600.114     654 336  %WinDir%\System32\Wntdll.dll  pre-SP1
   01-maj-2003  20:56  5.1.2600.1217  1 508 864  %WinDir%\System32\Ntdll.dll   with SP1
   30-apr-2003  21:43  5.1.2600.1217    657 408  %WinDir%\System32\Wntdll.dll  with SP1
Du kan även kontrollera vilka filer som har installerats med denna uppdatering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:

Alla språk utom japanska NEC
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Japanska NEC
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Utgivningsdatum: 17 mars 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den. Förutsättningar

Denna korrigeringsfil kräver Windows 2000 Service Pack 2 (SP2) eller Windows 2000 Service Pack 3 (SP3). Om du vill veta mer om hur du skaffar senaste service pack klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
260910 How to Obtain the Latest Windows 2000 Service Pack
Obs! Om du använder Windows 2000 Service Pack 2 (SP2) bör du läsa varningen i början av denna artikel innan du installerar korrigeringsfilen.

Installationsinformation

Denna korrigeringsfil stöder följande installationsväxlar:
  • /? : Visa listan över installationsväxlar.
  • /u : Använd oövervakat läge.
  • /f : Tvinga andra program att avslutas när datorn stängs av.
  • /n : Säkerhetskopiera inte filer som ska tas bort.
  • /o : Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z : Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l : Visa en lista över installerade snabbkorrigeringar.
  • /x : Extrahera filerna utan att installationsprogrammet körs.
Om du till exempel vill installera korrigeringsfilen utan några åtgärder från användaren, och sedan inte tvinga datorn att starta om, använder du följande kommandorad:
q815021_w2k_sp4_x86_en /u /q /z
Du kan kontrollera om uppdateringen är installerad på datorn genom att ta reda på om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Information om borttagning

Du kan ta bort denna korrigeringsfil genom att använda Lägg till/ta bort program på Kontrollpanelen för att ta bort "Windows 2000 Hotfix (SP4) Q815021".

Systemadministratörer kan ta bort korrigeringsfilen med verktyget Spunist.exe. Spuninst.exe finns i mappen %Windir%\$NTUninstallQ815021$\Spuninst och stöder följande installationsväxlar:
  • /? : Visa listan över installationsväxlar.
  • /u : Använd oövervakat läge.
  • /f : Tvinga andra program att avslutas när datorn stängs av.
  • /z : Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
Krav på omstart

Du måste starta om datorn efter installation av denna korrigeringsfil, eftersom Ntdll.dll är en kärnbinärfil för systemet som laddas under systemstart. Datorn är sårbar tills den startas om.

Filinformation

Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). När du visar filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

   Datum         Tid   Version        Storlek     Sökväg och filnamn
   -----------------------------------------------------------------------
   15-mar-2003  01:23  5.0.2195.6685  476 944  %Windir%\System32\Ntdll.dll

Du kan även kontrollera vilka filer som har installerats med denna korrigeringsfil genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (alla versioner)

Microsoft Internet Information Server (IIS) är inte avsett att användas i Windows NT Server 4.0, Terminal Server Edition, och stöds inte av detta operativsystem. Microsoft rekommenderar att kunder som använder IIS 4.0 i Windows NT Server 4.0, Terminal Server Edition, skyddar sina system genom att ta bort IIS 4.0.

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:

Windows NT 4.0:

Alla språk utom japanska NEC och kinesiska (Hongkong):
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Japanska NEC:
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Kinesiska (Hongkong):
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Windows NT Server 4.0, Terminal Server Edition:

Alla språk:
Dölj bildenVisa bilden
Hämta
Hämta paket 815021 nu
Utgivningsdatum: 23 april 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna korrigeringsfil kräver Windows NT 4.0 Service Pack 6a (SP6a) eller Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
152734 How to Obtain the Latest Windows NT 4.0 Service Pack


Installationsinformation

Denna korrigeringsfil stöder följande installationsväxlar:
  • /y : Utför borttagning (endast med /m eller /q).
  • /f : Tvinga program att stängas vid avstängning av datorn.
  • /n : Skapa inte en avinstallationsmapp.
  • /z : Starta inte om när uppdateringen är klar.
  • /q : Använd tyst eller oövervakat läge utan användargränssnitt. (Denna växel inbegriper /m.)
  • /m : Använd oövervakat läge med användargränssnitt.
  • /l : Visa en lista över installerade snabbkorrigeringar.
  • /x : Extrahera filerna utan att installationsprogrammet körs.
Du kan kontrollera att uppdateringen är installerad på datorn genom att ta reda på om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Om du till exempel vill installera korrigeringsfilen utan några åtgärder från användaren, och sedan inte tvinga datorn att starta om, använder du följande kommandorad:
q815021i /q /z
Information om borttagning

Ta bort korrigeringsfilen med verktyget Lägg till/ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort korrigeringsfilen med verktyget Spunist.exe. Spuninst.exe finns i mappen %Windir%\$NTUninstallQ815021$\Spuninst och stöder följande installationsväxlar:
  • /? : Visa listan över installationsväxlar.
  • /u : Använd oövervakat läge.
  • /f : Tvinga andra program att avslutas när datorn stängs av.
  • /z : Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
Krav på omstart

Du måste starta om datorn efter installation av denna korrigeringsfil, eftersom Ntdll.dll är en kärnbinärfil för systemet som laddas under systemstart. Datorn är sårbar tills den startas om.

Filinformation

Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). När du visar filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

   Datum         Tid   Version         Storlek     Sökväg och filnamn           Operativsystem
   ----------------------------------------------------------------------------------------
   24-mar-2003  10:38  4.0.1381.7212   367 376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
   24-mar-2003  07:12  4.0.1381.33546  369 936  %WinDir%\System32\Ntdll.dll  TSE

Status

Microsoft har bekräftat att detta är ett säkerhetsproblem i de Microsoft-produkter som nämns i början av denna artikel.

Endast Windows 2000

Detta problem korrigerades först i Microsoft Windows 2000 Service Pack 4.

Mer Information

Mer information om detta säkerhetsproblem finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp


Om datorn har flera processorer måste du använda verktyget MBSA (Microsoft Baseline Security Analyzer) med växeln /nosum för att inaktivera kontroller av kontrollsummor. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Is Available

Egenskaper

Artikel-id: 815021 - Senaste granskning: den 1 december 2007 - Revision: 13.1
Informationen i denna artikel gäller:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional Edition
Nyckelord: 
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com