MS03-007:Windows 组件中未检查的缓冲区可能危及 Web 服务器的安全

文章翻译 文章翻译
文章编号: 815021 - 查看本文应用于的产品
Microsoft 最早于 2003 年 3 月 17 日发表了此文章。那时 Microsoft 已经知道有人曾利用软件中存在的漏洞来攻击运行 IIS 5.0 的 Windows 2000 Server。这种攻击所用的载体是 WebDAV,虽然实际的漏洞潜藏在核心操作系统组件 Ntdll.dll 中。Microsoft 后来很快发布了用于保护 Windows 2000 用户的修补程序,同时仍在继续调查该隐藏的漏洞。Windows NT 4.0 的 Ntdll.dll 中也存在此漏洞,但 Windows NT 4.0 不支持 WebDAV,因此利用该漏洞发动的攻击对 Windows NT 4.0 是不起作用的。Microsoft 现已发布了用于 Windows NT 4.0 的修补程序。此外,Microsoft 最近得知 Windows XP 也存在此漏洞。但是,与 Windows NT 4.0 一样,Windows XP 默认情况下不安装 Internet Information Services (IIS)。Microsoft 在 2003 年 5 月 28 日发布了用于 Windows XP 和 Windows XP Service Pack 1 的修补程序。

警告如果运行的是 Windows 2000 Service Pack 2 (SP2),那么在安装此修补程序之前,必须检查计算机上 Ntoskrnl.exe 的版本。为此,您需要:
  1. 打开 %Windir%\System32 文件夹。
  2. 右键单击 Ntoskrnl.exe 文件,单击属性,然后单击版本选项卡。
版本介于 5.0.2195.4797 和 5.0.2195.4928 之间的 Ntoskrnl.exe 与此修补程序不兼容。这些版本是随 Microsoft 产品支持服务修补程序一起分发的。如果您在安装了版本介于 5.0.2195.4797 和 5.0.2195.4928 之间的 Ntoskrnl.exe 的计算机上安装本文所述的修补程序,则在重新启动计算机时,计算机将停止响应,并出现消息“Stop 0x00000071”。出现这种情况时,必须使用 Windows 2000 故障恢复控制台以及存储在 Winnt\$NTUninstallQ815021$ 文件夹中的 Ntdll.dll 文件的备份副本来恢复 Windows 安装。

如果要更新装有通过 Microsoft 产品支持服务分发的 Ntoskrnl.exe 的计算机,在应用此修补程序之前,必须先与 Microsoft 产品支持服务联系。有关“Microsoft 产品支持服务”的电话号码和支持费用信息的完整列表,请访问下面的 Microsoft Web 站点:
http://support.microsoft.com/selectassist
或者,也可以先升级到 Windows 2000 Service Pack 3 (SP3),然后再安装此修补程序。
展开全部 | 关闭全部

本文内容

症状

Windows 2000 支持“WWW 分布式制作和版本控制”(WebDAV) 协议。如 RFC 2518 中所述,WebDAV 是一组“超文本传输协议”(HTTP) 扩展,用于为 Internet 上的计算机之间的编辑和文件管理提供一项标准。要查看 RFC 2518,请访问以下 RFC Web 站点:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Microsoft 提供第三方联系信息是为了帮助您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。

WebDAV 使用的一个 Windows 组件中存在一个安全漏洞。出现此漏洞的原因是该组件含有未检查的缓冲区。

攻击者可以通过向运行 Microsoft Internet Information Services (IIS) 的计算机发送一个特殊格式的 HTTP 请求来利用此漏洞进行攻击。该请求可能导致服务器出错或者运行攻击者选择的代码。这些代码将在 IIS 服务的安全上下文中运行。(默认情况下,IIS 在 LocalSystem 上下文中运行)。

尽管 Microsoft 已提供用于此漏洞的修补程序并且建议您立即安装该修补程序,但您也可以在评估该修补程序的效果及其兼容性后,使用所提供的其他工具和保护措施来防止此漏洞被利用。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816930 MS03-007:How to Work Around the Vulnerability That Is Discussed in Microsoft Knowledge Base Article 815021

缓解因素

  • URLScan 的默认配置可防止此漏洞被利用。URLScan 是 IIS Lockdown 工具的一部分。有关 URLScan 的详细信息,请访问以下 Microsoft Web 站点:
    http://www.microsoft.com/technet/security/URLScan.asp
    有关 IIS Lockdown 工具的详细信息,请访问以下 Web 站点:
    http://www.microsoft.com/technet/security/tools/locktool.mspx
  • 仅当攻击者能够与受影响的服务器建立 Web 会话时,此漏洞才可能被远程利用。

解决方案

Service Pack 信息

Windows 2000

要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 How to Obtain the Latest Windows 2000 Service Pack

安全修补程序信息

Windows XP

下载信息
可以从 Microsoft 下载中心下载下列文件:

Windows XP(所有语言)
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
Windows XP 64 位版本
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
发布日期:2003 年 5 月 28 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时最新的病毒检测软件。此文件存储在增强的安全服务器上,以防止在未经授权的情况下对其进行更改。
先决条件

此修补程序需要 Windows XP 或 Windows XP Service Pack 1 (SP1) 的发行版本。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 How to Obtain the Latest Windows XP Service Pack
安装信息

此修补程序支持下列安装开关选项:
  • /?:显示安装开关选项列表。
  • /u:使用“无人值守”模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不给出提示即覆盖 OEM 文件。
  • /z:当安装完成时不重新启动计算机。
  • /q:使用“静默”模式(无用户交互)。
  • /l:列出已安装的修复程序。
  • /x:解压缩文件但不运行安装程序。
例如,要在没有用户干预的情况下安装此修补程序,并且强迫让计算机重新启动,请使用下面的命令行:
q815021_wxp_sp2_x86_enu /u /q /z
要验证计算机上是否已安装此修补程序,请检查以下注册表项是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
删除信息

要删除此更新程序,请使用控制面板中的添加/删除程序工具。

系统管理员可以使用 Spunist.exe 实用程序删除此修补程序。Spuninst.exe 位于 %Windir%\$NTUninstallQ815021$\Spuninst 文件夹中,它支持下面的安装开关:
  • /?:显示安装开关选项列表。
  • /u:使用“无人值守”模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:当安装完成时不重新启动计算机。
  • /q:使用“静默”模式(无用户交互)。
重新启动要求

应用此修补程序后必须重新启动计算机,这是因为 Ntdll.dll 是系统启动过程中加载的核心系统二进制文件。只有重新启动计算机后,计算机才不容易受到攻击。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的“时区”选项卡。

Windows XP
   日期         时间   版本       大小     路径和文件名
   ---------------------------------------------------------------------------------
02-05-2003  15:03  5.1.2600.114   651,264  %Windir%\System32\Ntdll.dll  SP1 之前
01-05-2003  20:56  5.1.2600.1217  654,336  %Windir%\System32\Ntdll.dll  带 SP1

Windows XP 64 位版本
   日期         时间   版本       大小     路径和文件名
   ------------------------------------------------------------------------------------
02-05-2003  15:03  5.1.2600.114   1,498,112  %WinDir%\System32\Ntdll.dll   SP1 之前
01-05-2003  14:57  5.1.2600.114     654,336  %WinDir%\System32\Wntdll.dll  SP1 之前
01-05-2003  20:56  5.1.2600.1217  1,508,864  %WinDir%\System32\Ntdll.dll   带 SP1
30-04-2003  21:43  5.1.2600.1217    657,408  %WinDir%\System32\Wntdll.dll  带 SP1
您还可以通过查看下面的注册表项,验证此修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

下载信息

可以从 Microsoft 下载中心下载下列文件:

除日语 NEC 外的所有语言
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
日语 NEC
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
发布日期:2003 年 3 月 17 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时最新的病毒检测软件。此文件存储在增强的安全服务器上,以防止在未经授权的情况下对其进行更改。 先决条件

此修补程序需要 Windows 2000 Service Pack 2 (SP2) 或 Windows 2000 Service Pack 3 (SP3)。 有关如何获取最新的 Service Pack 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 How to Obtain the Latest Windows 2000 Service Pack
注意如果您使用的是 Windows 2000 Service Pack 2 (SP2),请先阅读本文开头的警告,然后再应用此修补程序。

安装信息

此修补程序支持下列安装开关选项:
  • /?:显示安装开关选项列表。
  • /u:使用“无人值守”模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不给出提示即覆盖 OEM 文件。
  • /z:当安装完成时不重新启动计算机。
  • /q:使用“静默”模式(无用户交互)。
  • /l:列出已安装的修复程序。
  • /x:解压缩文件但不运行安装程序。
例如,要在没有用户干预的情况下安装此修补程序,并且不强迫让计算机重新启动,请使用下面的命令行:
q815021_w2k_sp4_x86_en /u /q /z
要验证您的计算机上是否安装了此修补程序,请确认下面的注册表项是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
删除信息

通过使用“控制面板”中的“添加/删除程序”工具删除“Windows 2000 Hotfix (SP4) Q815021”,可以删除此修补程序。

系统管理员可以使用 Spunist.exe 实用程序删除此修补程序。Spuninst.exe 位于 %Windir%\$NTUninstallQ815021$\Spuninst 文件夹中,它支持下面的安装开关:
  • /?:显示安装开关选项列表。
  • /u:使用“无人值守”模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:当安装完成时不重新启动计算机。
  • /q:使用“静默”模式(无用户交互)。
重新启动要求

应用此修补程序后必须重新启动计算机,这是因为 Ntdll.dll 是系统启动过程中加载的核心系统二进制文件。只有重新启动计算机后,计算机才不容易受到攻击。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的“时区”选项卡。

   日期         时间   版本       大小     路径和文件名
   -----------------------------------------------------------------------
15-03-2003  01:23  5.0.2195.6685  476,944  %Windir%\System32\Ntdll.dll

您还可以通过查看下面的注册表项,验证此修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0(所有版本)

Microsoft Internet Information Server (IIS) 不适合在 Windows NT Server 4.0 终端服务器版上使用,该操作系统不支持它。对于在 Windows NT Server 4.0 终端服务器版上运行 IIS 4.0 的客户,Microsoft 建议通过删除 IIS 4.0 来保护系统。

下载信息

可以从 Microsoft 下载中心下载下列文件:

Windows NT 4.0:

除日语 NEC 和中文(香港特别行政区)外的所有语言:
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
日语 NEC:
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
中文(香港特别行政区):
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
Windows NT Server 4.0 终端服务器版:

所有语言:
收起这个图片展开这个图片
下载
立即下载 815021 软件包。
发布日期:2003 年 4 月 23 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时最新的病毒检测软件。此文件存储在增强的安全服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

此修补程序需要 Windows NT 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0 终端服务器版 Service Pack 6 (SP6)。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
152734 How to Obtain the Latest Windows NT 4.0 Service Pack


安装信息

此修补程序支持下列安装开关选项:
  • /y:执行删除(仅与 /m/q 一起使用)。
  • /f:关机时强制程序关闭。
  • /n:不创建卸载文件夹。
  • /z:当更新完成时不重新启动。
  • /q:使用没有用户界面的“静默”或“无人值守”模式。(该开关是 /m 的超集。)
  • /m:使用带用户界面的“无人值守”模式。
  • /l:列出已安装的修复程序。
  • /x:解压缩文件但不运行安装程序。
要验证您的计算机上是否安装了此修补程序,请确认下面的注册表项是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
例如,要在没有用户干预的情况下安装此修补程序,并且不强迫让计算机重新启动,请使用下面的命令行:
q815021i /q /z
删除信息

要删除此修补程序,请使用“控制面板”中的“添加/删除程序”工具。

系统管理员可以使用 Spunist.exe 实用程序删除此修补程序。Spuninst.exe 位于 %Windir%\$NTUninstallQ815021$\Spuninst 文件夹中,它支持下面的安装开关:
  • /?:显示安装开关选项列表。
  • /u:使用“无人值守”模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:当安装完成时不重新启动计算机。
  • /q:使用“静默”模式(无用户交互)。
重新启动要求

应用此修补程序后必须重新启动计算机,这是因为 Ntdll.dll 是在系统启动过程中加载的核心系统二进制文件。只有重新启动计算机后,计算机才不容易受到攻击。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的“时区”选项卡。

日期         时间   版本       大小     路径和文件名           操作系统
   ----------------------------------------------------------------------------------------
24-03-2003  10:38  4.0.1381.7212   367,376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
24-03-2003  07:12  4.0.1381.33546  369,936  %WinDir%\System32\Ntdll.dll  TSE

状态

Microsoft 已经确认此问题可能导致本文开头列出的 Microsoft 产品中存在某种程度的安全漏洞。

仅限 Windows 2000

此问题最先是在 Microsoft Windows 2000 Service Pack 4 中更正的。

更多信息

有关此漏洞的详细信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp


如果计算机有多个处理器,则必须带 /nosum 开关运行 Microsoft Baseline Security Analyzer (MBSA) 工具,以禁用校验和检查。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Is Available

属性

文章编号: 815021 - 最后修改: 2007年12月1日 - 修订: 13.1
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional Edition
关键字:?
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com