MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Artikelöversättning Artikelöversättning
Artikel-id: 823980 - Visa produkter som artikeln gäller.

Teknisk uppdatering

  • 10 september 2003: Följande ändringar har gjorts av denna artikel:
    • Avsnittet "Ersättningsinformation" har uppdaterats med information om att den här korrigeringsfilen har ersatts av 824146 (MS03-039). Om du vill veta mer om säkerhetskorrigering 824146 (MS03-039) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
      824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
    • Avsnittet "Installationsinformation" har uppdaterats med information om att Microsoft har gett ut ett verktyg som nätverksadministratörer kan använda för att hitta värddatorer utan säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039) i nätverk. Om du vill veta mer om det här verktyget klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
      827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
    • Avsnittet "Ersättningsinformation" för Windows NT 4.0 har uppdaterats med information om att den här säkerhetskorrigeringen ersätter 305399 (MS01-048) för datorer med Windows NT 4.0.
  • 19 augusti 2003: Avsnittet "Mer information" har uppdaterats med en hänvisning till artikel 826234 i Microsoft Knowledge Base. Denna artikel innehåller information om det Nachi-maskvirus som används för att utnyttja det säkerhetsproblem som korrigeras med denna säkerhetskorrigering.
    826234 Virusvarning för masken Nachi
  • 14 september 2003: Följande ändringar har gjorts av denna artikel:
    • Avsnittet "Mer information" har uppdaterats med en hänvisning till artikel 826955 i Microsoft Knowledge Base. Denna artikel innehåller information om det Blaster-maskvirus som används för att utnyttja det säkerhetsproblem som korrigeras med denna säkerhetskorrigering.
      826955 Virusvarning för masken Blaster med varianter
    • Avsnittet "Installationsinformation" har uppdaterats för att ange att Microsoft har publicerat ett verktyg som nätverksadministratörer kan använda för att söka efter datorer som saknar denna säkerhetskorrigering i ett nätverk.
    • Avsnitten "Ersättningsinformation" har uppdaterats för att ange att denna säkerhetskorrigering ersätter 331953 (MS03-010) för datorer med Windows 2000 och Windows XP. För datorer med Windows NT 4.0 och Windows Server 2003 ersätter denna säkerhetskorrigering inte några andra säkerhetskorrigeringar.
    • Avsnittet "Förutsättningar" för Windows 2000 har uppdaterats med information om stöd i Windows 2000 Service Pack 2 för denna korrigeringsfil.
    • Avsnittet "Lösning" har uppdaterats med ytterligare lösningsinformation.
  • 18 juli 2003: Avsnitten "Symptom" och "Begränsande faktorer" har uppdaterats. En anmärkning har lagts till i avsnittet "Förutsättningar" för Windows 2000. En anmärkning har lagts till i avsnittet "Förutsättningar" för Windows NT 4.0. I avsnittet "Windows NT 4.0" har registernyckeln "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980" ändrats till "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980". I avsnittet "Lösning" har texten ändrats i den första punkten ("Blockera port 135 i brandväggen"). I följande avsnitt har filinformationstabellerna ändrats: Windows Server 2003, 32-bitarsversion; Windows Server 2003, 64-bitarsversion; Windows XP Professional och Windows XP Home Edition; Windows XP 64-bitarsversion.
  • 18 augusti 2003: Avsnittet "Förutsättningar" har uppdaterats.
Visa alla | Dölj alla

På den här sidan

Symptom

Microsoft publicerade ursprungligen denna bulletin och säkerhetskorrigering den 16 juli 2003 för att korrigera ett säkerhetsproblem i ett RPC-gränssnitt (Remote Procedure Call) för Windows DCOM (Distributed Component Object Model). Denna säkerhetskorrigering kunde och kan fortfarande användas för att eliminera säkerhetsproblemet. I diskussionerna av "begränsande faktorer" och "lösningar" i den ursprungliga säkerhetsbulletinen identifierades emellertid inte tydligt alla portar som kunde användas för att utnyttja säkerhetsproblemet. Microsoft har uppdaterat denna bulletin för att tydligare ange vilka portar som kan användas för att aktivera RPC-tjänster, och för att säkerställa att kunder som väljer att implementera en lösning innan korrigeringsfilen installeras har den nödvändiga informationen för att skydda sina datorer. Kunder som redan har installerat säkerhetskorrigeringen är skyddade från försök att utnyttja detta säkerhetsproblem och behöver inte vidta några ytterligare åtgärder.

RPC (Remote Procedure Call) är ett protokoll som används i Windows-operativsystemet. RPC innehåller en funktion för kommunikation mellan processer, som gör att kod från ett program som körs på en dator kan köras utan problem på en fjärrdator. Själva protokollet kommer från RPC-protokollet från OSF (Open Software Foundation). I det RPC-protokoll som används i Windows ingår ytterligare tillägg som är specifika för Microsoft.

Det finns ett säkerhetsproblem i den del av RPC-funktionen där meddelandeutväxling via TCP/IP hanteras. Detta säkerhetsproblem beror på felaktig hantering av meddelanden med felaktigt format och påverkar ett DCOM-gränssnitt (Distributed Component Object Model) med RPC, som lyssnar på portar som stöder RPC. I detta gränssnitt hanteras begäranden om DCOM-objektaktivering som skickas från klientdatorer (till exempel UNC-sökvägsbegäranden [Universal Naming Convention]) till servern. En angripare som lyckas utnyttja detta säkerhetsproblem skulle kunna köra kod med behörigheten Lokalt system på en dator. Angriparen skulle sedan kunna utföra valfria åtgärder på datorn, till exempel installera program, visa data, ändra data, ta bort data eller skapa nya konton med fullständig behörighet.

För att kunna utnyttja detta säkerhetsproblem måste angriparen skicka en särskilt utformad begäran till fjärrdatorn på vissa RPC-portar.

Begränsande faktorer
  • För att kunna utnyttja detta säkerhetsproblem måste angriparen kunna skicka en särskilt utformad begäran till port 135, 139, 445 eller någon annan särskilt konfigurerad RPC-port på fjärrdatorn. I intranätmiljöer är dessa portar normalt tillgängliga, men på datorer som är anslutna till Internet blockeras de vanligen av en brandvägg. Om dessa portar inte är blockerade, eller om datorn finns i en intranätmiljö, behöver angriparen inte ha ytterligare behörighet.
  • Vanligen bör alla oanvända TCP/IP-portar blockeras. Normalt blockeras dessa portar i de flesta brandväggar, däribland Brandvägg för Internet-anslutning i Windows. Därför bör RPC via TCP eller UDP vara blockerat på de flesta datorer som är anslutna till Internet. RPC via UDP eller TCP är inte avsett för användning i farliga miljöer som Internet. Det finns stabilare protokoll, som RPC via HTTP, för farliga miljöer.

Lösning

Information om säkerhetskorrigeringen

Om du vill veta mer om hur du löser detta säkerhetsproblem klickar du på någon av följande länkar:

Windows Server 2003 (alla versioner)

Information om hämtning
Följande filer kan hämtas från Microsoft Download Center:

Windows Server 2003 32-bitarsversion
Dölj bildenVisa bilden
Hämta
Hämta paket 823980 nu
Windows Server 2003 64-bitarsversion och Windows XP 64-bitarsutgåva version 2003
Dölj bildenVisa bilden
Hämta
Hämta paket 823980 nu
Utgivningsdatum: 16 juli 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.
Förutsättningar
Denna säkerhetskorrigering kräver den utgivna versionen av Windows Server 2003.
Installationsinformation
Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Microsoft har publicerat ett verktyg som nätverksadministratörer kan använda för att söka efter datorer som saknar denna säkerhetskorrigering i ett nätverk. Om du vill veta mer om det här verktyget klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Du kan också kontrollera att säkerhetskorrigeringen är installerad på datorn med hjälp av MBSA (Microsoft Baseline Security Analyzer), genom att jämföra filversionerna på datorn med listan över filer i avsnittet "Filinformation" i denna artikel, eller genom att kontrollera att följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
Använd Microsoft Baseline Security Analyzer (MBSA) för att kontrollera att denna uppdatering har installerats. Mer information om MBSA finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
Information om distribution
Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommando:
WindowsServer2003-KB823980-x86-ENU /u /q
Om du vill installera säkerhetskorrigeringen utan att datorn måste startas om använder du följande kommando:
WindowsServer2003-KB823980-x86-ENU /z
Obs! Du kan kombinera dessa växlar till ett enda kommando.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Krav på omstart
Du måste starta om datorn när du har installerat säkerhetskorrigeringen.
Information om borttagning
Använd verktyget Lägg till eller ta bort program på Kontrollpanelen för att ta bort denna säkerhetskorrigering.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, Programfilen Spuninst.exe finns i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktyget stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
Ersättningsinformation
Denna säkerhetskorrigering ersätter inte några andra säkerhetskorrigeringar på datorer med Windows Server 2003.

Den här säkerhetskorrigeringen ersätts av 824146 (MS03-039). Om du vill veta mer om säkerhetskorrigering 824146 (MS03-039) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
Filinformation
Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Windows Server 2003, 32-bitarsversion:
   Datum         Tid   Version            Storlek    Filnamn    Mapp
   -------------------------------------------------------------------
   05-jul-2003  18:03  5.2.3790.68     1 182 720  Ole32.dll    \rtmgdr    
   05-jul-2003  18:03  5.2.3790.59       657 920  Rpcrt4.dll   \rtmgdr    
   05-jul-2003  18:03  5.2.3790.68       217 088  Rpcss.dll    \rtmgdr    
   05-jul-2003  18:01  5.2.3790.68     1 182 720  Ole32.dll    \rtmqfe   
   05-jul-2003  18:01  5.2.3790.63       658 432  Rpcrt4.dll   \rtmqfe    
   05-jul-2003  18:01  5.2.3790.68       217 600  Rpcss.dll    \rtmqfe    


Windows Server 2003 64-bitarsversion och Windows XP 64-bitarsutgåva version 2003:
   Datum         Tid   Version            Storlek    Filnamn                Mapp
   ----------------------------------------------------------------------------------
   05-jul-2003  18:05  5.2.3790.68     3 549 184  Ole32.dll       (IA64)   \Rtmgdr
   05-jul-2003  18:05  5.2.3790.59     2 127 872  Rpcrt4.dll      (IA64)   \Rtmgdr
   05-jul-2003  18:05  5.2.3790.68       660 992  Rpcss.dll       (IA64)   \Rtmgdr
   05-jul-2003  18:03  5.2.3790.68     1 182 720  Wole32.dll      (X86)    \Rtmgdr\Wow
   05-jul-2003  18:03  5.2.3790.59       539 648  Wrpcrt4.dll     (X86)    \Rtmgdr\Wow
   05-jul-2003  18:03  5.2.3790.68     3 548 672  Ole32.dll       (IA64)   \Rtmqfe
   05-jul-2003  18:03  5.2.3790.63     2 128 384  Rpcrt4.dll      (IA64)   \Rtmqfe
   05-jul-2003  18:03  5.2.3790.68       662 016  Rpcss.dll       (IA64)   \Rtmqfe
   05-jul-2003  18:01  5.2.3790.68     1 182 720  Wole32.dll      (X86)    \Rtmqfe\Wow
   05-jul-2003  18:01  5.2.3790.63       539 648  Wrpcrt4.dll     (X86)    \Rtmqfe\Wow
Obs! När denna säkerhetskorrigering installeras på en dator med Windows Server 2003 eller Windows XP 64-bitarsutgåva version 2003, kontrolleras automatiskt om några av de filer som uppdateras på datorn tidigare har uppdaterats med en snabbkorrigering från Microsoft. Om du tidigare har installerat en snabbkorrigering för att uppdatera någon av dessa filer kopieras filerna från snabbkorrigeringen till datorn. Annars kopieras GDR-filerna till datorn. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
824994 Beskrivning av innehållet i ett uppdateringspaket för Windows Server 2003 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Du kan kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (Alla versioner)

Information om hämtning
Följande filer kan hämtas från Microsoft Download Center:

Windows XP Professional och Windows XP Home Edition
Dölj bildenVisa bilden
Hämta
Hämta paket 823980 nu
Windows XP 64-bitarsutgåva version 2002
Dölj bildenVisa bilden
Hämta
Hämta paket 823980 nu
Utgivningsdatum: 16 juli 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.
Förutsättningar
Denna säkerhetskorrigering kräver den utgivna versionen av Windows XP eller Windows XP Service Pack 1 (SP1). Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
322389 Skaffa den senaste Service Pack-versionen för Windows XP
Installationsinformation
Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Microsoft har publicerat ett verktyg som nätverksadministratörer kan använda för att söka efter datorer som saknar denna säkerhetskorrigering i ett nätverk. Om du vill veta mer om det här verktyget klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Du kan också kontrollera att säkerhetskorrigeringen är installerad på datorn med hjälp av MBSA (Microsoft Baseline Security Analyzer), genom att jämföra filversionerna på datorn med listan över filer i avsnittet "Filinformation" i denna artikel, eller genom att kontrollera att följande registernyckel finns:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP med Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Om du vill veta mer om MBSA (Microsoft Baseline Security Analyzer) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig
Information om distribution
Om du vill installera korrigeringsfilen utan några åtgärder från användaren använder du följande kommando:
WindowsXP-KB823980-x86-ENU /u /q
Om du vill installera säkerhetskorrigeringen utan att datorn måste startas om använder du följande kommando:
WindowsXP-KB823980-x86-ENU /z
Obs! Du kan kombinera dessa växlar till ett enda kommando.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Krav på omstart
Du måste starta om datorn när du har installerat denna säkerhetskorrigering.
Information om borttagning
Använd verktyget Lägg till/ta bort program på Kontrollpanelen för att ta bort denna korrigeringsfil.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, Programfilen Spuninst.exe finns i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktyget stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
Ersättningsinformation
För datorer med Windows XP ersätter denna säkerhetskorrigering 331953 (MS03-010).

Den här korrigeringsfilen ersätts av 824146 (MS03-039). Om du vill veta mer om säkerhetskorrigering 824146 (MS03-039) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
Filinformation
Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Windows XP Professional och Windows XP Home Edition:

   Datum         Tid   Version            Storlek    Filnamn
   -------------------------------------------------------------------
   05-jul-2003  19:14  5.1.2600.115    1 092 096  Ole32.dll    utan SP1
   05-jul-2003  19:14  5.1.2600.109      439 296  Rpcrt4.dll   utan SP1
   05-jul-2003  19:14  5.1.2600.115      203 264  Rpcss.dll    utan SP1
   05-jul-2003  19:12  5.1.2600.1243   1 120 256  Ole32.dll    med SP1
   05-jul-2003  19:12  5.1.2600.1230     504 320  Rpcrt4.dll   med SP1
   05-jul-2003  19:12  5.1.2600.1243     202 752  Rpcss.dll    med SP1
Windows XP 64-bitarsutgåva version 2002:

   Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------------------------
   05-jul-2003  19:15  5.1.2600.115    4 191 744  Ole32.dll        (IA64)  utan SP1
   05-jul-2003  19:15  5.1.2600.109    2 025 472  Rpcrt4.dll       (IA64)  utan SP1
   05-jul-2003  19:15  5.1.2600.115      737 792  Rpcss.dll        (IA64)  utan SP1
   05-jul-2003  19:12  5.1.2600.1243   4 292 608  Ole32.dll        (IA64)  med SP1
   05-jul-2003  19:12  5.1.2600.1230   2 292 224  Rpcrt4.dll       (IA64)  med SP1
   05-jul-2003  19:12  5.1.2600.1243     738 304  Rpcss.dll        (IA64)  med SP1
   05-jul-2003  18:37  5.1.2600.115    1 092 096  Wole32.dll       (X86)   utan SP1
   03-jan-2003  02:06  5.1.2600.109      440 320  Wrpcrt4.dll      (X86)   utan SP1
   05-jul-2003  18:07  5.1.2600.1243   1 120 256  Wole32.dll       (X86)   med SP1
   04-jun-2003  17:35  5.1.2600.1230     505 344  Wrpcrt4.dll      (X86)   med SP1

Obs! Windows XP-versionerna av denna säkerhetskorrigering förpackas som paket för dubbla lägen. Om du vill veta mer om paket för dubbla lägen klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
328848 Beskrivning av uppdateringspaket för dubbla lägen för Windows XP (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Du kan kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP med Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (Alla versioner)

Information om hämtning
Följande fil kan hämtas från Microsoft Download Center:

Dölj bildenVisa bilden
Hämta
Hämta paket 823980 nu
Utgivningsdatum: 16 juli 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Obs! Denna korrigeringsfil kan inte installeras i Windows 2000 Datacenter Server. Vänd dig till din OEM-leverantör om du vill veta hur du skaffar en säkerhetskorrigering för Windows 2000 Datacenter Server. Om du vill veta mer om Windows 2000 Datacenter Server klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
265173 Datacenter-programmet och Windows 2000 Datacenter Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Förutsättningar
Denna säkerhetskorrigering kräver Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) eller Windows 2000 Service Pack 4 (SP4).

Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
260910 Skaffa den senaste Service Pack-versionen för Windows 2000
Installationsinformation
Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Microsoft har publicerat ett verktyg som kan användas för att söka efter datorer som saknar denna säkerhetskorrigering i ett nätverk. Om du vill veta mer om det här verktyget klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Du kan också kontrollera att säkerhetskorrigeringen är installerad på datorn med hjälp av MBSA (Microsoft Baseline Security Analyzer), genom att jämföra filversionerna på datorn med listan över filer i avsnittet "Filinformation" i denna artikel, eller genom att kontrollera att följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Om du vill veta mer om MBSA (Microsoft Baseline Security Analyzer) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig
Information om distribution
Om du vill installera korrigeringsfilen utan några åtgärder från användaren använder du följande kommando:
Windows2000-KB823980-x86-ENU /u /q
Om du vill installera säkerhetskorrigeringen utan att datorn måste startas om använder du följande kommando:
Windows2000-KB823980-x86-ENU /z
Obs! Du kan kombinera dessa växlar till ett enda kommando.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Krav på omstart
Du måste starta om datorn när du har installerat denna säkerhetskorrigering.
Information om borttagning
Använd verktyget Lägg till/ta bort program på Kontrollpanelen för att ta bort denna korrigeringsfil.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, Programfilen Spuninst.exe finns i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktyget stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
Ersättningsinformation
För datorer med Windows 2000 ersätter den här säkerhetskorrigeringen 331953 (MS03-010).

Den här korrigeringsfilen ersätts av 824146 (MS03-039). Om du vill veta mer om säkerhetskorrigering 824146 (MS03-039) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
Filinformation
Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

   Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   05-jul-2003  17:15  5.0.2195.6769     944 912  Ole32.dll        
   05-jul-2003  17:15  5.0.2195.6753     432 400  Rpcrt4.dll       
   05-jul-2003  17:15  5.0.2195.6769     188 688  Rpcss.dll 
Du kan kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
En snabbkorrigering är nu tillgänglig från Microsoft, men den är endast avsedd att lösa problemet som beskrivs i den här artikeln. Använd den bara på datorer där detta problem uppstår.

Du kan få snabbkorrigeringen från Microsoft Support. På följande webbsida finns en fullständig lista över telefonnummer till Microsoft Support och information om supportkostnader:
http://support.microsoft.com/contactus/?ws=support
Obs! I vissa fall är supporten gratis, om en supporttekniker kommer fram till att problemet kan lösas med en viss uppdatering. Normala supportavgifter tas ut för ytterligare supportfrågor och problem som inte gäller den aktuella uppdateringen.

Windows NT 4.0 (Alla versioner)

Information om hämtning
Följande filer kan hämtas från Microsoft Download Center:

Windows NT 4.0 Server:
Dölj bildenVisa bilden
Hämta
Hämta paket 823980 nu
Windows NT 4.0 Server, Terminal Server Edition:
Dölj bildenVisa bilden
Hämta
Hämta paket 823980 nu
Utgivningsdatum: 16 juli 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.
Förutsättningar
Denna säkerhetskorrigering kräver Windows 4.0 Service Pack 6a (SP6a) eller Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).

Obs! Den här säkerhetskorrigeringen kan installeras i Windows NT 4.0 Workstation. Microsoft stöder emellertid inte längre versionen, i enlighet med företagets policy för Lifecycle Support. Dessutom har den här säkerhetskorrigeringen inte testats i Windows NT 4.0 Workstation. Information om Microsofts policy för Lifecycle Support finns på följande Microsoft-webbplats:
http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle.
Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
152734 Skaffa den senaste Service Pack-versionen för Windows NT 4.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Installationsinformation
Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /y : Utför borttagning (endast med /m eller /q).
  • /f: Tvinga program att stängas vid avstängning av datorn.
  • /n: Skapa inte en avinstallationsmapp.
  • /z: Starta inte om när uppdateringen är klar.
  • /q : Använd tyst eller oövervakat läge utan användargränssnitt (denna växel inbegriper /m).
  • /m : Använd oövervakat läge med användargränssnitt.
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Microsoft har publicerat ett verktyg som kan användas för att söka efter datorer som saknar denna säkerhetskorrigering i ett nätverk. Om du vill veta mer om det här verktyget klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Du kan också kontrollera att säkerhetskorrigeringen är installerad på datorn med hjälp av MBSA (Microsoft Baseline Security Analyzer), genom att jämföra filversionerna på datorn med listan över filer i avsnittet "Filinformation" i denna artikel, eller genom att kontrollera att följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Om du vill veta mer om MBSA (Microsoft Baseline Security Analyzer) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig
Information om distribution
Om du vill installera korrigeringsfilen utan några åtgärder från användaren använder du följande kommando:
Q823980i /q
Om du vill installera säkerhetskorrigeringen utan att datorn måste startas om använder du följande kommando:
Q823980i /z
Obs! Du kan kombinera dessa växlar till ett enda kommando.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
Krav på omstart
Du måste starta om datorn när du har installerat denna säkerhetskorrigering.
Information om borttagning
Använd verktyget Lägg till/ta bort program på Kontrollpanelen för att ta bort denna korrigeringsfil.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, Programfilen Spuninst.exe finns i mappen %Windir%\$NTUninstallKB823980$\Spuninst. Verktyget stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
Ersättningsinformation
För datorer med Windows NT 4.0 ersätter den här säkerhetskorrigeringen korrigeringen i Microsoft-säkerhetsbulletinen MS01-048.

Den här korrigeringsfilen ersätts av 824146 (MS03-039). Om du vill veta mer om säkerhetskorrigering 824146 (MS03-039) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
Filinformation
Den engelska versionen av denna korrigering har de filattribut (eller senare) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Windows NT 4.0 Server:
   Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   05-jul-2003  5:26  4.0.1381.7224     701 200  Ole32.dll        
   05-jul-2003  5:26  4.0.1381.7219     345 872  Rpcrt4.dll       
   05-jul-2003  5:26  4.0.1381.7224     107 280  Rpcss.exe   
Windows NT 4.0 Server, Terminal Server Edition:
   Datum         Tid   Version            Storlek    Filnamn
   --------------------------------------------------------------
   07-jul-2003  3:29  4.0.1381.33549    701 712  Ole32.dll        
   07-jul-2003  3:29  4.0.1381.33474    345 360  Rpcrt4.dll       
   07-jul-2003  3:29  4.0.1381.33549    109 328  Rpcss.exe   
Du kan kontrollera om säkerhetskorrigeringen är installerad på datorn genom att se efter om samtliga filer i tabellen finns på datorn.

Workaround

Även om Microsoft uppmanar alla kunder att installera säkerhetskorrigeringen så snart som möjligt, finns det flera sätt att tillfälligt förhindra att säkerhetsproblemet utnyttjas.

Dessa lösningar är tillfälliga åtgärder De bidrar endast till att blockera angreppsvägarna. Det underliggande säkerhetsproblemet finns kvar.

Följande avsnitt innehåller information som kan användas för att skydda datorn mot angrepp. I avsnitten beskrivs olika lösningar som kan användas, beroende på datorns konfiguration och önskad funktionsnivå.
  • Blockera UDP-portarna 135, 137, 138 och 445 samt TCP-portarna 135, 139, 445 och 593 och inaktivera CIS (COM Internet Services) samt RPC via HTTP, som lyssnar på portarna 80 och 443, på de aktuella datorerna. Dessa portar används för att initiera en RPC-anslutning till en fjärrdator. Om dessa portar blockeras i brandväggen bidrar det till att förhindra angrepp på datorer bakom brandväggen genom utnyttjande av säkerhetsproblemet. Du bör även blockera alla andra särskilt konfigurerade RPC-portar på fjärrdatorn.

    Om CIS och RPC via HTTP aktiveras kan DCOM-anrop fungera via TCP-port 80 (och port 443 i Windows XP och Windows Server 2003). Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer. Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
    Kunder kan också ha konfigurerat tjänster eller protokoll för RPC som kan nås från Internet. Systemadministratörer rekommenderas att undersöka RPC-portar som är exponerade för Internet och blockera dem i brandväggen eller installera korrigeringsfilen omedelbart.
  • Använd Brandvägg för Internet-anslutning och inaktivera CIS (COM Internet Services) och RPC via HTTP, som lyssnar på portarna 80 och 443, på de aktuella datorerna. Om du använder Brandvägg för Internet-anslutning i Windows XP eller Windows Server 2003 för att skydda Internet-anslutningen blockeras som standard inkommande RPC-trafik från Internet. Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer. Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Blockera de aktuella portarna med hjälp av ett IPSEC-filter och inaktivera CIS (COM Internet Services) och RPC via HTTP, som lyssnar på portarna 80 och 443, på de aktuella datorerna.Du kan säkra nätverkskommunikationen på datorer med Windows 2000 med hjälp av IPSec (Internet Protocol Security). Om du vill veta mer om IPSec och användning av filter klickar du på artikelnumren nedan och läser artiklarna i Microsoft Knowledge Base:
    313190 Använda IPSec-IP-filterlistor i Windows 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    813878 Blockera vissa nätverksprotokoll och portar med hjälp av IPSec (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer. Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)
  • Inaktivera DCOM på alla aktuella datorer: När en dator ingår i ett nätverk möjliggör DCOM-protokollet att COM-objekt på datorn kan kommunicera med COM-objekt på andra datorer.

    Du kan inaktivera DCOM på en dator som skydd mot detta säkerhetsproblem, men då inaktiveras all kommunikation mellan objekt på denna dator och objekt på andra datorer. Om du inaktiverar DCOM på en fjärrdator kan du inte fjärransluta till denna dator för att åter aktivera DCOM. För att kunna aktivera DCOM igen måste du ha fysisk tillgång till datorn. Om du vill veta mer om hur du inaktiverar DCOM klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825750 Inaktivera DCOM-stöd i Windows (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Obs! För Windows 2000 fungerar metoderna i artikel 825750 i Microsoft Knowledge Base endast på datorer med Windows 2000 Service Pack 3 eller senare. Kunder som använder Service Pack 2 eller tidigare bör uppgradera till ett senare service pack eller använda någon av de andra lösningarna.

Status

Microsoft har bekräftat att detta är ett säkerhetsproblem i de Microsoft-produkter som nämns i början av denna artikel.

Mer Information

Mer information om detta säkerhetsproblem finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx
Mer information om säkring av RPC för klienter och servrar finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
Mer information om portar som används för RPC finns på följande Microsoft-webbplats:
http://technet2.microsoft.com/WindowsServer/en/library/4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx?mfr=true
Om du vill veta mer om Blaster-maskviruset, som utnyttjar det säkerhetsproblem som korrigeras genom denna säkerhetskorrigering, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
826955 Virusvarning för masken Blaster med varianter
Om du vill veta mer om Nachi-maskviruset, som utnyttjar det säkerhetsproblem som korrigeras genom denna säkerhetskorrigering, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
826234 Virusvarning för masken Nachi
Om du vill veta mer om hur du skaffar en snabbkorrigering för Windows 2000 Datacenter Server klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
265173 Datacenter-programmet och Windows 2000 Datacenter Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Egenskaper

Artikel-id: 823980 - Senaste granskning: den 16 februari 2007 - Revision: 18.3
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Nyckelord: 
kbhotfixserver atdownload kbwinxpsp2fix kbbug kbfix kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbwinserv2003presp1fix kbwinxppresp2fix kbwinnt400presp7fix KB823980

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com