MS03-007:Windows 元件中未檢查的緩衝區可能導致 Web 伺服器受損

文章翻譯 文章翻譯
文章編號: 815021 - 檢視此文章適用的產品。
Microsoft 原先在 2003 年 3 月 17 日發行此文件。當時 Microsoft 已知道執行 IIS 5.0 的 Windows 2000 Server 有個弱點,可能會被公開利用與攻擊。此情況中的攻擊以 WebDAV 為媒介,雖然根本的弱點是核心作業系統的元件 Ntdll.dll。Microsoft 已發佈補充程式,以立即保護 Windows 2000 客戶,同時繼續調查根本弱點。Windows NT 4.0 也含有 Ntdll.dll 中的根本弱點,但是它並不支援 WebDAV,因此已知的利用攻擊對 Windows NT 4.0 無效。Microsoft 已經發行 Windows NT 4.0 補充程式。另外,近來 Microsoft 在 Windows XP 中也發現此弱點。但是,與 Windows NT 4.0 相同,依預設 Windows XP 並不會安裝 Internet Information Services (IIS)。在 2003 年 5 月 28 日,Microsoft 發行了 Windows XP 與 Windows XP Service Pack 1 的補充程式。

警告 如果您正在執行 Windows 2000 Service Pack 2 (SP2),請在安裝此補充程式之前,務必先檢查電腦上的 Ntoskrnl.exe 版本。如果要執行這項操作:
  1. 開啟 %Windir%\System32 資料夾。
  2. Ntoskrnl.exe 檔上按一下滑鼠右鍵,按一下 [內容],再按一下 [版本] 索引標籤。
Ntoskrnl.exe 版本從 5.0.2195.4797 到 5.0.2195.4928 均與此補充程式不相容。這些版本只透過「Microsoft 技術支援部」的 Hotfix 發佈。如果您在具有 Ntoskrnl.exe 版本 5.0.2195.4797 到 5.0.2195.4928 的電腦上安裝了本文所述之補充程式,則在啟動電腦時,電腦會停止回應並出現 Stop 0x00000071 (停止 0x00000071) 訊息。如果發生此種情形,您必須使用 Windows 2000「修復主控台」與儲存在 Winnt\$NTUninstallQ815021$ 資料夾中的 Ntdll.dll 檔案復原 Windows 安裝。

如果要更新「Microsoft 技術支援部」所發行之 Ntoskrnl.exe 版本的電腦,在套用此補充程式之前,請務必與「Microsoft 技術支援部」聯絡。如需「Microsoft 技術支援部」電話號碼的完整清單,以及支援費用的相關資訊,請參訪下面的 Microsoft 網站:
http://www.microsoft.com/taiwan/support/
或者,您可以在套用此補充程式之前,先升級為 Windows 2000 Service Pack 3 (SP3)。
全部展開 | 全部摺疊

在此頁中

徵狀

Windows 2000 支援 World Wide Web Distributed Authoring and Versioning (WebDAV) 通訊協定。如 RFC 2518 中所述,WebDAV 是「超文字傳輸協定」(HTTP) 的擴充,在網際網路上的電腦之間提供進行編輯及檔案管理工作的標準。如果要檢視 RFC 2518,請參閱下列的 RFC 網站:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Microsoft 提供協力廠商的聯絡資訊,以協助您找出技術支援。此聯絡資訊若有變更,恕不另行通知。Microsoft 不保證此協力廠商聯絡資訊的準確性。

WebDAV 所使用的 Windows 元件中具有安全性弱點。此弱點的發生原因是元件包含未檢查的緩衝區。

攻擊者可能會傳送特殊格式的 HTTP 要求到執行 Microsoft Internet Information Services (IIS) 的電腦,以利用此弱點。此要求將導致伺服器失效或執行攻擊者選擇的程式碼。程式碼會在 IIS 服務的安全性內容中執行。(根據預設值,IIS 服務會在 LocalSystem 內容中執行)。

即使 Microsoft 已經提供了這項安全性弱點的補充程式,並建議您立即加以安裝,我們還提供了其他的工具和預防措施,讓您在評估補充程式的衝擊和相容性問題的同時,防止惡意人士利用這項弱點進行破壞。 如需其他資訊,請按一下下列的文件編號,檢視 Microsoft Knowledge Base 中的文件:
816930 MS03-007:How to Work Around the Vulnerability That Is Discussed in Microsoft Knowledge Base Article 815021

緩和因素

  • URLScan 預設設定可以避免此弱點遭到利用。URLScan 為 IIS Lockdown 工具的一部分。如需有關 URLScan 的詳細資訊,請造訪下列 Microsoft 網站:
    http://www.microsoft.com/technet/security/URLScan.asp
    如需有關 IIS Lockdown 工具的詳細資訊,請造訪下列網站:
    http://www.microsoft.com/technet/security/tools/locktool.mspx
  • 只有攻擊者與受影響的伺服器建立 Web 工作階段時,才能自遠端利用這項弱點。

解決方案

Service Pack 資訊

Windows 2000

如果要解決此問題,請取得 Microsoft Windows 2000 的最新 Service Pack。如需詳細資訊,請按一下下列文件編號,檢視「Microsoft 知識庫」中的文件:
260910 如何取得最新版的 Windows 2000 Service Pack

安全性補充程式資訊

Windows XP

下載資訊
您可以從「Microsoft 下載中心」下載下列檔案:

Windows XP (所有語言)
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
Windows XP 64 位元版本
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
發行日期:2003 年 5 月 28 日

如需如何下載 Microsoft 支援檔案的詳細資訊,請按一下以下的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。
先決條件

此補充程式需要 Windows XP 或 Windows XP Service Pack 1 (SP1) 的發行版本。 如需其他資訊,請按一下下列的文件編號,檢視 Microsoft Knowledge Base 中的文件:
322389 如何取得最新版的 Windows XP Service Pack
安裝資訊

此補充程式支援下列安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動模式。
  • /f:當電腦關機時,強迫其他程式結束。
  • /n:移除檔案時不要備份。
  • /o:不要提示即覆寫 OEM 檔案。
  • /z:當安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
  • /l:列出安裝的 Hotfix。
  • /x:解壓縮檔案但不執行安裝程式。
例如,如果要在不需要使用者介入的情況下安裝補充程式,之後也強迫電腦重新開機,請使用下列命令列:
Q815021_WXP_SP2_x86_CHT.exe /u /q /z
如果要確認此補充程式是否已安裝在您的電腦上,請檢查下列登錄機碼是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
移除資訊

如果要移除此更新,請使用 [控制台][新增/移除程式] 工具。

系統管理員可以使用 Spunist.exe 公用程式移除這個補充程式。Spuninst.exe 位在 %Windir%\$NTUninstallQ815021$\Spuninst 資料夾中,並支援下列的安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動模式。
  • /f:當電腦關機時,強迫其他程式結束。
  • /z:當安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
重新啟動需求

在套用了這個補充程式之後,必須將電腦重新開機,因為 Ntdll.dll 是核心系統二進位檔案,會在系統啟動時載入。在電腦重新開機前,都有可能會發生安全性弱點。

檔案資訊

此補充程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換成當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

Windows XP
   日期        時間        版本          大小         路徑與檔名
   ---------------------------------------------------------------------------------
02-May-2003  15:03  5.1.2600.114   651,264  %Windir%\System32\Ntdll.dll  pre-SP1
01-May-2003  20:56  5.1.2600.1217  654,336  %Windir%\System32\Ntdll.dll  with SP1

Windows XP 64 位元版本
   日期        時間        版本          大小         路徑與檔名
   ------------------------------------------------------------------------------------
02-May-2003  15:03  5.1.2600.114   1,498,112  %WinDir%\System32\Ntdll.dll   pre-SP1
01-May-2003  14:57  5.1.2600.114     654,336  %WinDir%\System32\Wntdll.dll  pre-SP1
01-May-2003  20:56  5.1.2600.1217  1,508,864  %WinDir%\System32\Ntdll.dll   with SP1
30-Apr-2003  21:43  5.1.2600.1217    657,408  %WinDir%\System32\Wntdll.dll  with SP1
您也可以檢視下列登錄機碼,以確認補充程式所安裝的檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

下載資訊

您可以從「Microsoft 下載中心」下載下列檔案:

All Languages Except Japanese NEC
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
日文 NEC
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
發行日期:2003 年 3 月 17 日

如需如何下載 Microsoft 支援檔案的其他詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。先決條件

此補充程式需要 Windows 2000 Service Pack 2 (SP2) 或 Windows 2000 Service Pack 3 (SP3)。 如需有關如何取得最新 Service Pack 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的下列文件:
260910 如何取得最新版的 Windows 2000 Service Pack
注意 如果您正在使用 Windows 2000 Service Pack 2 (SP2),請在套用此補充程式之前,先參閱本文開端的警告。

安裝資訊

此補充程式支援下列安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動模式。
  • /f:當電腦關機時,強迫其他程式結束。
  • /n:移除檔案時不要備份。
  • /o:不要提示即覆寫 OEM 檔案。
  • /z:當安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
  • /l:列出安裝的 Hotfix。
  • /x:解壓縮檔案但不執行安裝程式。
例如,如果要在沒有使用者互動的情況下安裝補充程式,之後也不強迫電腦重新開機,請使用下列命令列:
Q815021_W2K_sp4_x86_TW.EXE /u /q /z
如果要檢查您的電腦是否已安裝此補充程式,請確認下列登錄機碼是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
移除資訊

您可以使用 [控制台] 的 [新增/移除程式] 工具移除此補充程式「Windows 2000 Hotfix (SP4) Q815021」。

系統管理員可以使用 Spunist.exe 公用程式移除此補充程式。Spuninst.exe 位在 %Windir%\$NTUninstallQ815021$\Spuninst 資料夾中,並支援下列的安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動模式。
  • /f:當電腦關機時,強迫其他程式結束。
  • /z:當安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
重新啟動需求

在套用了這個補充程式之後,必須將電腦重新開機,因為 Ntdll.dll 是核心系統二進位檔案,會在系統啟動時載入。在電腦重新開機前,都有可能會發生安全性弱點。

檔案資訊

此補充程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換成當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

   日期         時間       版本        大小     路徑與檔名
   -----------------------------------------------------------------------
15-Mar-2003  01:23  5.0.2195.6685  476,944  %Windir%\System32\Ntdll.dll

您也可以檢視下列登錄機碼,以確認補充程式所安裝的檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (所有版本)

Microsoft Internet Information Server (IIS) 並非設計供 Windows NT Server 4.0 Terminal Server Edition 使用,且不受支援。Microsoft 建議在 Windows NT Server 4.0 Terminal Server Edition 上執行 IIS 4.0 的客戶移除 IIS 4.0,以便保護他們的系統。

下載資訊

您可以從「Microsoft 下載中心」下載下列檔案:

Windows NT 4.0:

所有語言,除了日文 NEC 與中文 - 香港:
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
日文 NEC:
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
中文 - 香港:
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
Windows NT Server 4.0,Terminal Server Edition:

所有語言:
摺疊此圖像展開此圖像
Download
立即下載 815021 套件。
發行日期:2003 年 4 月 23 日

如需如何下載 Microsoft 支援檔案的其他詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒的掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

先決條件

此補充程式需要 Windows NT 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0,Terminal Server Edition Service Pack 6 (SP6)。 如需其他資訊,請按一下下面的文件編號,檢視 Microsoft Knowledge Base 中的文件:
152734 How to Obtain the Latest Windows NT 4.0 Service Pack


安裝資訊

此補充程式支援下列安裝參數:
  • /y:執行移除 (僅限與 /m/q 參數搭配使用)。
  • /f:關機時強制程式關閉。
  • /n:不要建立 [Uninstall] 資料夾。
  • /z:更新完成時不要重新啟動。
  • /q:不用使用者介面,使用無訊息或自動模式。(此參數為 /m 的超集)。
  • /m:使用具有使用者介面的自動安裝模式。
  • /l:列出安裝的 Hotfix。
  • /x:解壓縮檔案但不執行安裝程式。
如果要確定補充程式已安裝在電腦上,請確認是否有下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
例如,如果要在沒有使用者互動的情況下安裝補充程式,之後也不強迫電腦重新開機,請使用下列命令列:
CHPq815021i.EXE /q /z
移除資訊

如果要移除此補充程式,請使用 [控制台] 的 [新增/移除程式] 工具。

系統管理員可以使用 Spunist.exe 公用程式移除此補充程式。Spuninst.exe 位在 %Windir%\$NTUninstallQ815021$\Spuninst 資料夾中,並支援下列的安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動模式。
  • /f:當電腦關機時,強迫其他程式結束。
  • /z:當安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
重新啟動需求

在套用了這個補充程式之後,必須將電腦重新開機,因為 Ntdll.dll 是核心系統二進位檔案,會在系統啟動時載入。在電腦重新開機前,都有可能會發生安全性弱點。

檔案資訊

此補充程式的英文版具有下列表格中所列之檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換成當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

日期            時間        版本         大小           路徑與檔名                    OS
   ----------------------------------------------------------------------------------------
24-Mar-2003  10:38  4.0.1381.7212   367,376  %WinDir%\System32\Ntdll.dll  Windows NT 4.0
24-Mar-2003  07:12  4.0.1381.33546  369,936  %WinDir%\System32\Ntdll.dll  TSE

狀況說明

Microsoft 已確認此問題將在本文開端所列之 Microsoft 產品中,造成一定程度的安全性弱點。

僅限 Windows 2000

此問題在 Microsoft Windows 2000 Service Pack 4 中已首次獲得修正。

其他相關資訊

如需有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS03-007.asp


如果您的電腦具有多個處理器,則必須使用 /nosum 參數執行 Microsoft Baseline Security Analyzer (MBSA) 工具,以停用總和檢查碼的檢查。 如需其他資訊,請按一下下列的文件編號,檢視 Microsoft Knowledge Base 中的文件:
320454 Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Is Available

屬性

文章編號: 815021 - 上次校閱: 2007年12月1日 - 版次: 13.1
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional
關鍵字:?
kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com