MS03-026:RPC 中的缓冲区溢出可能允许代码执行

文章翻译 文章翻译
文章编号: 823980 - 查看本文应用于的产品

技术更新

  • 2003 年 9 月 10 日:对本文进行了以下更改:
    • 更新了“安全修补程序替换信息”部分,指明此修补程序已由 824146 (MS03-039) 替换。 有关 824146 安全修补程序 (MS03-039) 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
    • 更新了“安装信息”部分,指明 Microsoft 已发布了一种工具,网络管理员可将其用于扫描网络,并确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机。 有关此工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
    • 更新了 Windows NT 4.0“安全修补程序替换信息”部分,指明对于基于 Windows NT 4.0 的计算机,此更新修补程序替换 305399 (MS01-048)。
  • 2003 年 8 月 19 日:更新了“更多信息”部分以包含对 Microsoft 知识库文章 826234 的引用。此文章包含有关试图利用此安全修补程序所修复的漏洞的 Nachi 蠕虫病毒的信息。
    826234 关于 Nachi 蠕虫的病毒警报
  • 2003 年 8 月 14 日:对本文进行了以下更改:
    • 更新了“更多信息”部分以包含对 Microsoft 知识库文章 826955 的引用。此文章包含有关试图利用此安全修补程序所修复的漏洞的冲击波蠕虫病毒的信息。
      826955 关于冲击波蠕虫及其变种的病毒警报
    • 更新了“安装信息”部分,指明 Microsoft 已发布了一种工具,网络管理员可将其用于扫描网络中未安装此安全修补程序的系统。
    • 更新了“安全修补程序替换信息”部分,指明对于基于 Windows 2000 和 Windows XP 的计算机,此安全修补程序替换 331953 (MS03-010)。对于基于 Windows NT 4.0 和 Windows Server 2003 的计算机,此安全修补程序不替换任何其他修补程序。
    • 更新了 Windows 2000“先决条件”部分,以包含有关此修补程序的 Windows 2000 Service Pack 2 支持的信息。
    • 更新了“替代方法”部分以提供其他替代方法信息。
  • 2003 年 7 月 18 日:更新了“症状”部分和“减轻影响的因素”部分。在 Windows 2000“先决条件”部分中添加了备注。在 Windows NT 4.0“先决条件”部分中添加了备注。在“Windows NT 4.0”部分中,将注册表项“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980”更改为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980”。在“替代方法”部分中,更改了第一个项目符号处的文本(“在防火墙中阻止端口 135”)。在下面的部分中,更改了文件信息表:Windows Server 2003 32-Bit Edition、Windows Server 2003 64-Bit Edition、Windows XP Professional 和 Windows XP Home Edition、Windows XP 64-Bit Edition。
  • 2003 年 8 月 18 日:更新了“先决条件”部分。
展开全部 | 关闭全部

本文内容

症状

Microsoft 最初在 2003 年 7 月 16 日发布了此公告和修补程序,以纠正 Windows 分布式组件对象模型 (DCOM) 远程过程调用 (RPC) 接口中的安全漏洞。此修补程序在消除该安全漏洞方面过去有效,而且现在仍然有效。但是,在原安全公告中的“减轻影响的因素”和“替代方法”论述中,并未清楚地指出为利用此漏洞而可能使用的所有端口。Microsoft 已更新了此公告,以便更清楚地列出调用 RPC 服务时所使用的端口,并确保那些选择在安装修补程序之前实施某种替代方法的用户了解保护其系统所需的信息。已安装此修补程序的用户可以免遭他人利用此漏洞进行的攻击,而无须采取进一步的措施。

远程过程调用 (RPC) 是 Windows 操作系统使用的一种协议。RPC 提供了一种进程间通信机制,使在某一台计算机上运行的程序可以无缝地在远程计算机上运行代码。这种协议本身是从开放软件基金会 (OSF) 开发的 RPC 协议衍生出来的。Windows 所使用的 RPC 协议包括其他一些 Microsoft 特定的扩展。

RPC 中处理通过 TCP/IP 进行的消息交换的部分存在一个漏洞。导致此错误的原因是,没有正确地处理含有恶意代码的消息。此漏洞影响与 RPC 间的分布式组件对象模型 (DCOM) 接口,该接口负责侦听支持 RPC 的端口。此接口处理由客户端计算机发送到服务器的 DCOM 对象激活请求(例如,统一命名约定 [UNC] 路径请求)。成功利用此漏洞的攻击者可以使用本地系统权限在受影响的系统上运行代码。攻击者可以在系统上执行任何操作,包括安装程序、查看数据、更改数据、删除数据或创建具有完全权限的新帐户。

要利用此漏洞,攻击者必须通过特定 RPC 端口向远程计算机发送特制的请求。

减轻影响的因素
  • 要利用此漏洞,攻击者必须能够将特制请求发送到远程计算机上的端口 135、端口 139、端口 445 或任何其他专门配置的 RPC 端口。在 Intranet 环境中,通常可以访问这些端口;而对于连接到 Internet 的计算机,防火墙通常将阻止这些端口。如果没有阻止这些端口,或者是在 Intranet 环境中,攻击者则不必具有任何其他权限。
  • 建议的最佳做法包括阻止所有未实际使用的 TCP/IP 端口。默认情况下,包括 Windows 防火墙在内的大多数防火墙都阻止这些端口。因此,连接到 Internet 的大多数计算机应阻止 RPC over TCP 或 RPC over UDP。RPC over TCP 或 RPC over UDP 并不适用于恶劣环境(如 Internet)。对于恶劣环境,我们提供了更可靠的协议,如 RPC over HTTP。

解决方案

安全修补程序信息

有关如何消除此漏洞的更多信息,请单击下面列表中的相应链接:

Windows Server 2003(所有版本)

下载信息
可以从 Microsoft 下载中心下载以下文件:

Windows Server 2003 32-Bit Edition
收起这个图片展开这个图片
下载
立即下载 823980 程序包。
Windows Server 2003 64-Bit Edition 和 Windows XP 64-Bit Edition 版本 2003
收起这个图片展开这个图片
下载
立即下载 823980 程序包。
发布日期:2003 年 7 月 16 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。
先决条件
此安全修补程序需要 Windows Server 2003 的发行版本。
安装信息
此安全修补程序支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不经提示即覆盖 OEM 文件。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
Microsoft 已发布了一种工具,网络管理员可将其用于扫描网络中是否有未安装此安全修补程序的系统。 有关此工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
您也可以使用 Microsoft Baseline Security Analyzer (MBSA) 来检查计算机上是否安装了此安全修补程序,方法是将计算机上的文件版本与本文“文件信息”部分中的文件列表进行比较,或确认是否存在以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
要验证是否已安装了此更新,请使用 Microsoft Baseline Security Analyzer (MBSA)。有关 MBSA 的其他信息,请参见下面的 Microsoft 网站:
http://www.microsoft.com/china/technet/security/tools/mbsahome.mspx
部署信息
要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令:
WindowsServer2003-KB823980-x86-CHS /u /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用下面的命令:
WindowsServer2003-KB823980-x86-CHS /z
注意:可以将这些开关组合到一个命令中。

有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新启动要求
应用此安全修补程序后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实用工具支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
安全修补程序替换信息
对于基于 Windows Server 2003 的计算机,此安全修补程序不替换任何其他安全修补程序。

此安全修补程序被 824146 (MS03-039) 替换。 有关 824146 安全修补程序 (MS03-039) 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Windows Server 2003 32-Bit Edition:
日期           时间    版本              大小         文件名        文件夹
-------------------------------------------------------------------
05-Jul-2003  18:03  5.2.3790.68     1,182,720  Ole32.dll    \rtmgdr    
05-Jul-2003  18:03  5.2.3790.59       657,920  Rpcrt4.dll   \rtmgdr    
05-Jul-2003  18:03  5.2.3790.68       217,088  Rpcss.dll    \rtmgdr    
05-Jul-2003  18:01  5.2.3790.68     1,182,720  Ole32.dll    \rtmqfe   
05-Jul-2003  18:01  5.2.3790.63       658,432  Rpcrt4.dll   \rtmqfe    
05-Jul-2003  18:01  5.2.3790.68       217,600  Rpcss.dll    \rtmqfe    


Windows Server 2003 64-Bit Edition 和 Windows XP 64-Bit Edition 版本 2003:
日期           时间    版本              大小         文件名                      文件夹
----------------------------------------------------------------------------------
05-Jul-2003  18:05  5.2.3790.68     3,549,184  Ole32.dll       (IA64)   \Rtmgdr
05-Jul-2003  18:05  5.2.3790.59     2,127,872  Rpcrt4.dll      (IA64)   \Rtmgdr
05-Jul-2003  18:05  5.2.3790.68       660,992  Rpcss.dll       (IA64)   \Rtmgdr
05-Jul-2003  18:03  5.2.3790.68     1,182,720  Wole32.dll      (X86)    \Rtmgdr\Wow
05-Jul-2003  18:03  5.2.3790.59       539,648  Wrpcrt4.dll     (X86)    \Rtmgdr\Wow
05-Jul-2003  18:03  5.2.3790.68     3,548,672  Ole32.dll       (IA64)   \Rtmqfe
05-Jul-2003  18:03  5.2.3790.63     2,128,384  Rpcrt4.dll      (IA64)   \Rtmqfe
05-Jul-2003  18:03  5.2.3790.68       662,016  Rpcss.dll       (IA64)   \Rtmqfe
05-Jul-2003  18:01  5.2.3790.68     1,182,720  Wole32.dll      (X86)    \Rtmqfe\Wow
05-Jul-2003  18:01  5.2.3790.63       539,648  Wrpcrt4.dll     (X86)    \Rtmqfe\Wow
注意:当您在运行 Windows Server 2003 或 Windows XP 64-Bit Edition 版本 2003 的计算机上安装此安全修补程序时,安装程序将检查计算机上要更新的文件中是否有以前被 Microsoft 修补程序更新过的文件。如果以前安装了修补程序来更新其中的某个文件,则安装程序会将修补程序文件复制到计算机上。否则,安装程序将 GDR 文件复制到计算机上。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824994 Windows XP Service Pack 2 和 Windows Server 2003 软件更新程序包内容说明
您可以通过查看下面的注册表项,来检查此安全修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP(所有版本)

下载信息
可以从 Microsoft 下载中心下载以下文件:

Windows XP Professional 和 Windows XP Home Edition
收起这个图片展开这个图片
下载
立即下载 823980 程序包。
Windows XP 64-Bit Edition 版本 2002
收起这个图片展开这个图片
下载
立即下载 823980 程序包。
发布日期:2003 年 7 月 16 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。
先决条件
此安全修补程序需要 Windows XP 或 Windows XP Service Pack 1 (SP1) 的发行版本。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack
安装信息
此安全修补程序支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不经提示即覆盖 OEM 文件。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
Microsoft 已发布了一种工具,网络管理员可将其用于扫描网络中是否有未安装此安全修补程序的系统。 有关此工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
您也可以使用 Microsoft Baseline Security Analyzer (MBSA) 来检查计算机上是否安装了此安全修补程序,方法是将计算机上的文件版本与本文“文件信息”部分中的文件列表进行比较,或确认是否存在以下注册表项:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
带有 Service Pack 1 (SP1) 的 Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
有关 Microsoft Baseline Security Analyzer (MBSA) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) 版本 1.2.1 已推出
部署信息
要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令:
WindowsXP-KB823980-x86-CHS /u /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用下面的命令:
WindowsXP-KB823980-x86-CHS /z
注意:可以将这些开关组合到一个命令中。

有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新启动要求
应用此安全修补程序后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实用工具支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
安全修补程序替换信息
对于基于 Windows XP 的计算机,此安全修补程序替换 331953 (MS03-010)。

此修补程序被 824146 (MS03-039) 替换。 有关 824146 安全修补程序 (MS03-039) 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Windows XP Professional 和 Windows XP Home Edition:

日期           时间    版本              大小         文件名
-------------------------------------------------------------------
05-Jul-2003  19:14  5.1.2600.115    1,092,096  Ole32.dll    pre-SP1
05-Jul-2003  19:14  5.1.2600.109      439,296  Rpcrt4.dll   pre-SP1
05-Jul-2003  19:14  5.1.2600.115      203,264  Rpcss.dll    pre-SP1
05-Jul-2003  19:12  5.1.2600.1243   1,120,256  Ole32.dll    with SP1
05-Jul-2003  19:12  5.1.2600.1230     504,320  Rpcrt4.dll   with SP1
05-Jul-2003  19:12  5.1.2600.1243     202,752  Rpcss.dll    with SP1
Windows XP 64-Bit Edition 版本 2002:

日期           时间    版本              大小         文件名
--------------------------------------------------------------------------------
05-Jul-2003  19:15  5.1.2600.115    4,191,744  Ole32.dll        (IA64)  pre-SP1
05-Jul-2003  19:15  5.1.2600.109    2,025,472  Rpcrt4.dll       (IA64)  pre-SP1
05-Jul-2003  19:15  5.1.2600.115      737,792  Rpcss.dll        (IA64)  pre-SP1
05-Jul-2003  19:12  5.1.2600.1243   4,292,608  Ole32.dll        (IA64)  with SP1
05-Jul-2003  19:12  5.1.2600.1230   2,292,224  Rpcrt4.dll       (IA64)  with SP1
05-Jul-2003  19:12  5.1.2600.1243     738,304  Rpcss.dll        (IA64)  with SP1
05-Jul-2003  18:37  5.1.2600.115    1,092,096  Wole32.dll       (X86)   pre-SP1
03-Jan-2003  02:06  5.1.2600.109      440,320  Wrpcrt4.dll      (X86)   pre-SP1
05-Jul-2003  18:07  5.1.2600.1243   1,120,256  Wole32.dll       (X86)   with SP1
04-Jun-2003  17:35  5.1.2600.1230     505,344  Wrpcrt4.dll      (X86)   with SP1

注意:此修补程序的 Windows XP 版本被打包为双模式程序包。 有关双模式程序包的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
328848 Windows XP 双模式更新程序包说明

您可以通过查看下面的注册表项,来检查此安全修补程序安装的文件:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
带有 Service Pack 1 (SP1) 的 Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000(所有版本)

下载信息
可以从 Microsoft 下载中心下载以下文件:

收起这个图片展开这个图片
下载
立即下载 823980 程序包。
发布日期:2003 年 7 月 16 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

注意:在 Windows 2000 Datacenter Server 上不支持此修补程序。有关如何获取 Windows 2000 Datacenter Server 安全修补程序的信息,请与您的相关 OEM 供应商联系。 有关 Windows 2000 Datacenter Server 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265173 Datacenter 计划和 Windows 2000 Datacenter Server 产品
先决条件
此安全修补程序需要 Windows 2000 Service Pack 2 (SP2)、Windows 2000 Service Pack 3 (SP3) 或 Windows 2000 Service Pack 4 (SP4)。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack
安装信息
此安全修补程序支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不经提示即覆盖 OEM 文件。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
Microsoft 已发布了一种工具,可用于扫描网络中是否有未安装此安全修补程序的系统。 有关此工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
您也可以使用 Microsoft Baseline Security Analyzer (MBSA) 来检查计算机上是否安装了此安全修补程序,方法是将计算机上的文件版本与本文“文件信息”部分中的文件列表进行比较,或确认是否存在以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
有关 Microsoft Baseline Security Analyzer (MBSA) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) 版本 1.2.1 已推出
部署信息
要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令:
Windows2000-KB823980-x86-CHS /u /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用下面的命令:
Windows2000-KB823980-x86-CHS /z
注意:可以将这些开关组合到一个命令中。

有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新启动要求
应用此安全修补程序后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实用工具支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
安全修补程序替换信息
对于基于 Windows 2000 的计算机,此安全修补程序替换 331953 (MS03-010)。

此修补程序被 824146 (MS03-039) 替换。 有关 824146 安全修补程序 (MS03-039) 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

日期           时间    版本                大小       文件名
--------------------------------------------------------------
05-Jul-2003  17:15  5.0.2195.6769     944,912  Ole32.dll        
05-Jul-2003  17:15  5.0.2195.6753     432,400  Rpcrt4.dll       
05-Jul-2003  17:15  5.0.2195.6769     188,688  Rpcss.dll 
您可以通过查看下面的注册表项,来检查此安全修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Microsoft 现在提供了一个受支持的修补程序,但该程序只用于解决本文中提到的问题。仅当系统遇到本文描述的特定问题时才可应用此修补程序。

要解决此问题,请与 Microsoft 产品支持服务联系,以获取此修补程序。要获取 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将照常收取支持费用。

Windows NT 4.0(所有版本)

下载信息
可以从 Microsoft 下载中心下载以下文件:

Windows NT 4.0 Server:
收起这个图片展开这个图片
下载
立即下载 823980 程序包。
Windows NT 4.0 Server 终端服务器版:
收起这个图片展开这个图片
下载
立即下载 823980 程序包。
发布日期:2003 年 7 月 16 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。
先决条件
此安全修补程序需要 Windows NT 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6)。

注意:此安全修补程序将安装在 Windows NT 4.0 Workstation 上。但是,根据 Microsoft 支持生命周期策略,Microsoft 不再支持此版本。另外,此安全修补程序未在 Windows NT 4.0 Workstation 上进行过测试。有关 Microsoft 支持生命周期策略的信息,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
152734 如何获取最新的 Windows NT 4.0 Service Pack
安装信息
此安全修补程序支持下列安装开关:
  • /y:执行删除(仅与 /m/q 一起使用)。
  • /f:计算机关闭时强制程序关闭。
  • /n:不创建卸载文件夹。
  • /z:更新完成时不重新启动。
  • /q:使用安静模式或不带用户界面的无人参与模式(此开关是 /m 的超集)。
  • /m:使用带用户界面的无人参与模式。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
Microsoft 已发布了一种工具,可用于扫描网络中是否有未安装此安全修补程序的系统。 有关此工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
您也可以使用 Microsoft Baseline Security Analyzer (MBSA) 来检查计算机上是否安装了此安全修补程序,方法是将计算机上的文件版本与本文“文件信息”部分中的文件列表进行比较,或确认是否存在以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
有关 Microsoft Baseline Security Analyzer (MBSA) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) 版本 1.2.1 已推出
部署信息
要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令:
Q823980i /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用下面的命令:
Q823980i /z
注意:可以将这些开关组合到一个命令中。

有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新启动要求
应用此安全修补程序后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实用工具支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
安全修补程序替换信息
对于基于 Windows NT 4.0 的计算机,此安全修补程序替换 Microsoft 安全公告 MS01-048 提供的安全修补程序。

此修补程序被 824146 (MS03-039) 替换。 有关 824146 安全修补程序 (MS03-039) 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824146 MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Windows NT 4.0 Server:
日期           时间   版本                大小       文件名
--------------------------------------------------------------
05-Jul-2003  5:26  4.0.1381.7224     701,200  Ole32.dll        
05-Jul-2003  5:26  4.0.1381.7219     345,872  Rpcrt4.dll       
05-Jul-2003  5:26  4.0.1381.7224     107,280  Rpcss.exe   
Windows NT 4.0 Server 终端服务器版:
日期           时间   版本                大小       文件名
--------------------------------------------------------------
07-Jul-2003  3:29  4.0.1381.33549    701,712  Ole32.dll        
07-Jul-2003  3:29  4.0.1381.33474    345,360  Rpcrt4.dll       
07-Jul-2003  3:29  4.0.1381.33549    109,328  Rpcss.exe   
要验证计算机上是否已安装了此安全修补程序,请确认计算机上是否有上表中列出的所有文件。

替代方法

尽管 Microsoft 强烈建议所有用户尽早应用此安全修补程序,但还是提供了几个过渡性的替代方法,以帮助阻止利用此漏洞的一些攻击手段。

这些替代方法都是临时性的措施。它们只能帮助阻断攻击途径,并不能纠正根本性的漏洞。

以下几节提供了一些信息,可用来保护计算机以免受到攻击。每节中描述了不同的替代方法,您可以根据计算机的配置和所需的功能级别来选择相应的方法。
  • 在防火墙中阻止 UDP 端口 135、137、138、445 以及 TCP 端口 135、139、445 和 593,并在受影响的计算机上禁用 COM Internet 服务 (CIS) 和 RPC over HTTP(它们侦听端口 80 和 443)。这些端口用于启动与远程计算机的 RPC 连接。通过在防火墙中阻止这些端口,有助于防止有人企图利用上述漏洞攻击防火墙后面的系统。还应阻止远程计算机上专门配置的任何其他 RPC 端口。

    如果启用 CIS 和 RPC over HTTP,则允许通过 TCP 端口 80(以及 Windows XP 和 Windows Server 2003 上的端口 443)进行 DCOM 调用。请确保在所有受影响的计算机上禁用 CIS 和 RPC over HTTP。 有关如何禁用 CIS 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825819 如何删除 COM Internet 服务 (CIS) 和 RPC over HTTP 代理支持
    有关 RPC over HTTP 的其他信息,请访问下面的 Microsoft 网站:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
    另外,用户可能已配置了某些服务或协议,也可以通过 Internet 来访问它们所使用的 RPC。强烈建议系统管理员检查对 Internet 公开的 RPC 端口,并在防火墙中阻止这些端口或立即应用修补程序。
  • 使用 Windows 防火墙,并在受影响的计算机上禁用 COM Internet 服务 (CIS) 和 RPC over HTTP(它们侦听端口 80 和 443)。如果您使用 Windows XP 或 Windows Server 2003 中的 Windows 防火墙功能来帮助保护您的 Internet 连接,则默认情况下,它禁止来自 Internet 的入站 RPC 通信。请确保在所有受影响的计算机上禁用 CIS 和 RPC over HTTP。 有关如何禁用 CIS 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825819 如何删除 COM Internet 服务 (CIS) 和 RPC over HTTP 代理支持
    有关 RPC over HTTP 的其他信息,请访问下面的 Microsoft 网站:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • 使用以下方法阻止受影响的端口:在受影响的计算机上使用 IPSEC 筛选器并禁用 COM Internet 服务 (CIS) 和 RPC over HTTP(它们侦听端口 80 和 443)。如果使用 Internet 协议安全 (IPSec),则在基于 Windows 2000 的计算机上可以确保网络通信的安全。 有关 IPSec 以及如何应用筛选器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    313190 如何使用 Windows 2000 中的 IPSec IP 筛选器列表
    813878 如何使用 IPSec 阻止特定网络协议和端口
    请确保在所有受影响的计算机上禁用 CIS 和 RPC over HTTP。 有关如何禁用 CIS 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825819 如何删除 COM Internet 服务 (CIS) 和 RPC over HTTP 代理支持
  • 在所有受影响的计算机上禁用 DCOM:如果计算机是网络的一部分,该计算机上的 COM 对象可通过 DCOM 有线协议与其他计算机上的 COM 对象进行通信。

    您可以对特定的计算机禁用 DCOM,以帮助防范他人利用此漏洞发动的攻击,但如果这样做的话,该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用 DCOM,则无法远程访问该计算机以重新启用 DCOM。要重新启用 DCOM,您必须亲手操作该计算机。 有关如何禁用 DCOM 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825750 如何在 Windows 中禁用 DCOM 支持
    注意:对于 Windows 2000,Microsoft 知识库文章 825750 中介绍的用来禁用 DCOM 的方法仅在运行 Windows 2000 Service Pack 3 或更高版本的计算机上有效。使用 Service Pack 2 或更低版本的用户应升级到更高版本的 Service Pack 或使用其他替代方法。

状态

Microsoft 已经确认此问题可能导致本文开头列出的 Microsoft 产品中存在某种程度的安全漏洞。

更多信息

有关此漏洞的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/Bulletins/MS03-026.asp
有关如何确保客户端和服务器的 RPC 安全的更多信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
有关 RPC 使用的端口的更多信息,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/WindowsServer/en/library/4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx?mfr=true
有关企图利用此安全修补程序消除的漏洞的冲击波蠕虫病毒的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
826955 关于冲击波蠕虫及其变种的病毒警报
有关企图利用此安全修补程序消除的漏洞的 Nachi 蠕虫病毒的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
826234 关于 Nachi 蠕虫的病毒警报
有关如何获取 Windows 2000 Datacenter Server 修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265173 Datacenter 计划和 Windows 2000 Datacenter Server 产品

属性

文章编号: 823980 - 最后修改: 2007年2月16日 - 修订: 18.3
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
  • Microsoft Windows NT Workstation 4.0 开发员版
关键字:?
kbhotfixserver atdownload kbwinxpsp2fix kbbug kbfix kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbwinserv2003presp1fix kbwinxppresp2fix kbwinnt400presp7fix KB823980
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com