Übersicht über die in Windows 2000 Service Pack 4 behobenen Sicherheitsprobleme

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 821665 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
821665 List of Security Fixes in Windows 2000 Service Pack 4
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die sicherheitsrelevanten Bugs und Aktualisierungsszenarien, die in Windows 2000 Service Pack 4 (SP4) behoben werden.

Weitere Informationen

Möglicherweise erhöhte Sicherheitsberechtigungen über den Ordner "_vti_bot"


Willkürlich in ein WebBot eingefügter Code wird in Microsoft Internet Information Services (IIS) 5.0 während des Prozesses ausgeführt. Mit dieser Aktualisierung wird verhindert, dass WebBots aus Ordnern geladen werden, die sich nicht unterhalb des globalen WebBot-Ordners oder des versionsspezifischen WebBot-Ordners befinden.

Windows 2000 Internet Key Exchange wählt falsches Zertifikat aus


Wenn auf einer Zertifizierungsstelle unter Windows 2000 IP-Sicherheit (Internet Protocol Security, IPSec) konfiguriert ist, wählt Internet Key Exchange (IKE) möglicherweise eines der folgenden Zertifikate:
  • Ein Zertifikat ohne Schlüsselverwendung mit digitaler Signatur. Dies führt dazu, dass das Zertifikat von IPSec-Peers zurückgewiesen wird.
  • Ein Signaturzertifikat der Zertifizierungsstelle, das der Client nicht akzeptieren kann.

Update zur Vermeidung gesamtstrukturübergreifender Zertifikatregistrierung


Dieses Update vermeidet, dass Benutzer aus einer vertrauenswürdigen Gesamtstruktur zur Registrierung eines Zertifikats Anmeldeinformationen verwenden, die nicht aus der Gesamtstruktur stammen, bei der sie das Zertifikat registrieren möchten.

Update zur Überprüfung von "cbDestLength" in der Komponente "Imaadpcm"


Dieses Update überprüft das Element "cbDestLength" in der Komponente "Imaadpcm", um zu verhindern, dass ein Benutzer remote schädlichen Code ausführen kann.

Beim Starten des DNS-Dienstes werden Zonen aus der Registrierung entfernt


Wenn Domain Name Service (DNS) so konfiguriert wurde, dass Zoneninformationen nur aus der Registrierung geladen werden, und wenn manche Zonen in der Registrierung mit einem Punkt enden, werden möglicherweise beim Starten des DNS-Dienstes manche Zonen entfernt.

Latenzzeit bei der Kontoreplikation führt zu Fehlschlag der Zertifikatregistrierung


Wenn neue Computer einer Domäne beitreten, können diese möglicherweise nicht auf Server zugreifen, die mit IPSec geschützt werden, bevor die Gruppenrichtlinie in der Domäne aktualisiert wird und die Replikation des neuen Computerkontos in der gesamten Domäne abgeschlossen ist.

Mögliche Sicherheitsanfälligkeit für Denial-of-Service-Angriffe in SAM


Es besteht eine potenzielle Sicherheitsanfälligkeit für Denial-of-Service-Angriffe, da die Such-API der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) Speicher reserviert, bevor sie eine Sicherheitsprüfung für den Zugriff durchführt. Ein Multithreading-Angriff auf die beiden betroffenen SAM-APIs (SamrLookupNamesInDomain und SamrLookupIdsInDomain) kann dazu führen, dass der Server nicht mehr auf Zugriffsanforderungen durch Clients reagiert.

Aufruf von "USBH_IoctlGetNodeConnectionDriverKeyName" führt möglicherweise zur Rückgabe nicht initialisierter Daten


Manchmal gibt eine Anforderung an USBH_IoctlGetNodeConnectionDriverKeyName im Benutzermodus nicht initialisierte Daten zurück, die vertrauliche Inhalte des Kernelspeichers offenlegen können.

Update für die Verwendung der Variablen "Use MAX_PATH" in Pufferspeichern für Anschlussnamen


Die Pufferspeicher für Anschlussnamen, die durch Anforderungspakete festgelegt werden, lassen die in der Variablen "MAX_PATH" referenzierte Größe anstelle eines numerischen Wertes wie 255 zu. So können mögliche Pufferüberläufe in den Pufferspeichern für Anschlussnamen verhindert werden.

Die Funktion "MyGetSidFromDomain" ruft "DsGetDCName" auf, um die Sicherheits-ID der Domäne zu erhalten


Es besteht eine potenzielle Sicherheitsanfälligkeit, da die myGetSidFromDomain-Funktion die nicht sichere DsGetDCName-API aufruft. Hierdurch entsteht die Möglichkeit des Spoofings auf einem Domänencontroller.

ModifyDN-Anforderung kann eine unendliche Schleife verursachen, wenn das neue übergeordnete Element als Distinguished Name angegeben wird


Wenn Sie das LDP-Tool verwenden, um die GUID eines Objekts abzurufen und Sie die das neue übergeordnete Objekt in einer modifyDN-Anforderung mit <guid=guid> als Distinguished Name (DN) angeben, kann dadurch eine unendliche Schleife verursacht werden.

Benutzer kann während Terminaldienste-Sitzung die Identität eines Named Pipe-Client annehmen und so Zugriff auf das Systemkonto erlangen


Es besteht eine potenzielle Sicherheitsanfälligkeit, da ein böswilliger Benutzer eine Named Pipe erstellen kann, die die Identität eines Named Pipe-Clients bei einer Terminaldienste-Sitzung annehmen könnte, um Zugriff auf das Systemkonto zu erlangen.

CDP- und AIA-URLs werden im Snap-In "Zertifizierungsstelle" nicht angezeigt, wenn der URL die Zeichen "%%20" enthält


Wenn Sie im Snap-In "Zertifizierungsstelle" einen neuen URL (Uniform Resource Locator) für einen Sperrlisten-Verteilungspunkt (Certificate Revocation List Distribution Point, CDP) oder für den Zugriff auf Stelleninformationen (Authority Information Access, AIA) hinzufügen, wird der CDP- oder AIA-URL nicht auf der Registerkarte X.509-Erweiterungen des Snap-Ins angezeigt, wenn er die folgende Zeichenfolge enthält:
%%20
Der URL für den CDP oder AIA wird zwar nicht im Snap-In "Zertifizierungsstelle" aufgeführt, er wird aber ordnungsgemäß in der Registrierung gespeichert und wird im von der Zertifizierungsstelle ausgegebenen Zertifikat korrekt angegeben.

Update zur Vermeidung der Aufnahme von Autorisierungsdateneinträgen zweier Clients in einem Kerberos-Ticket


Dieses Update überprüft, ob ein Proxy AutoConfig-Validator (PAC) vorhanden ist, und trägt so dazu bei, zu vermeiden, dass zwei von Clients bereitgestellte Autorisierungsdateneinträge in ein Kerberos-Ticket aufgenommen werden.

Server kann während des Downloads und der Installation von Treibern in Internet Explorer über eine RPC-Verbindung Zugriff auf den Computer erhalten


Wenn in Microsoft Internet Explorer die Sicherheitsstufe für die Zone "Internet" auf Niedrig oder Sehr niedrig eingestellt wurde und kein Proxyserver oder Firewall eingerichtet ist, der ausgehende RPC-Aufrufe (Remote Procedure Call, Remoteprozeduraufruf) verhindert, könnte ein böswilliger Benutzer einen Server konfigurieren, der Sie zur Installation eines Treibers auffordert. So könnte dieser böswillige Benutzer Zugriff auf den Computer erlangen, indem er eine RPC-Verbindung herstellt. Nach diesem Update wird eine Warnmeldung angezeigt, in der Sie beim Downloaden und Installieren von Treibern in Internet Explorer gefragt werden, ob Sie eine RPC-Verbindung herstellen möchten.

In "Cryptnet.dll" wird möglicherweise nicht der gesamte reservierte Speicher für ein Sockethandle freigegeben


In bestimmten Situationen wird ein LDAP-Socket (LDAP = Lightweight Directory Access Protocol) nicht korrekt freigegeben, sodass der für ein Sockethandle reservierte Speicher in "Cryptnet.dll" nicht vollständig freigegeben wird.

Sicherheitsanfälligkeit bei der Terminaldienstelizenzierung ermöglicht einem böswilligen Benutzer das Erzeugen zusätzlicher Clientlizenzen mit der Terminaldienstelizenzierung


In der Terminaldienstelizenzierung besteht eine Sicherheitsanfälligkeit, die es einem böswilligen Benutzer ermöglichen kann, zusätzliche Clientlizenzen in der Terminaldienstelizenzierung zu erzeugen. Weitere Informationen zum Beziehen des neuesten Service Packs für Windows 2000 finden Sie in folgendem Artikel der Microsoft Knowledge Base:
260910 Wie Sie das neueste Service Pack für Windows 2000 erhalten

Eigenschaften

Artikel-ID: 821665 - Geändert am: Donnerstag, 27. Februar 2014 - Version: 2.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Keywords: 
kbnosurvey kbarchive kbinfo KB821665
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com