MS03-026:RPC 中的緩衝區滿溢可能會允許程式碼執行

文章翻譯 文章翻譯
文章編號: 823980 - 檢視此文章適用的產品。

技術更新

  • 2003 年 9 月 10 日:本文做出下列變更:
    • <安全性修補程式取代資訊>一節中的更新內容指出此修補程式已經由 824146 (MS03-039) 所取代。 如需有關 824146 安全性修補程式 (MS03-039) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      824146 MS03-039:RPCSS 緩衝區滿溢可能會允許攻擊者執行惡意的程式
    • <安裝資訊>一節中的更新內容指出 Microsoft 已發行了工具,讓網路系統管理員可以用來掃描網路並找出尚未安裝 823980 (MS03-026) 與 824146 (MS03-039) 安全性修補程式的主機電腦。 如需有關這個工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      827363 如何使用 KB 824146 掃描工具,找出沒有安裝 823980 (MS03-026) 和 824146 (MS03-039) 安全性補充程式的主機電腦
    • Windows NT 4.0 的<安全性修補程式更新取代資訊>一節中的更新內容指出此安全性修補程式會取代適用於 Windows NT 4.0 電腦的 305399 (MS01-048)。
  • 2003 年 8 月 19 日:<其他相關資訊>一節中的更新內容包含了「Microsoft 知識庫」文件 826234 的參考連結。本文包含了有關嘗試利用此安全性修補程式所修正弱點的 Nachi 蠕蟲病毒的資訊。
    826234 Nachi 病蟲的病毒警訊
  • 2003 年 8 月 14 日:本文做出下列變更:
    • <其他相關資>一節中的更新內容包含了「Microsoft 知識庫」的參考文件 826955 的參考連結。本文包含了有關嘗試利用此安全性修補程式所修正弱點的 Blaster 蠕蟲病毒的資訊。
      826955 關於 Blaster 蠕蟲及變種的病毒警告
    • <安裝資訊>一節中的更新內容指出 Microsoft 已發行了工具,讓網路系統管理員可以用來掃描網路,以找出尚未安裝安全性修補程式的系統。
    • <安全性修補程式取代資訊>一節中的更新內容指出此安全性修補程式會取代適用於 Windows 2000 電腦與 Windows XP 電腦的 331953 (MS03-010)。對於 Windows NT 4.0 與 Windows Server 2003 電腦,這個安全性修補程式不會取代其他安全性修補程式。
    • Windows 2000<先決條件>一節中的更新內容包含了有關這個修補程式的 Windows 2000 Service Pack 2 支援資訊。
    • 更新之後的<其他可行方案>提供更多其他可行方案資訊。
  • 2003 年 7 月 18 日:更新了<徵狀>與<緩和因素>兩節的內容。Windows 2000<先決條件>中新增了一個附註。Windows NT 4.0<先決條件>中新增了一個附註。在<Windows NT 4.0>一節中,已經將 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980" 登錄機碼變更為 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980"。在<其他可行方案>一節中,變更了第一個項目符號中的文字 (「封鎖防火牆上的連接埠 135」)。在下列各節中,檔案資訊表格有所變更:Windows Server 2003 32-Bit Edition、Windows Server 2003 64-Bit Edition、Windows XP Professional 和 Windows XP Home Edition、Windows XP 64-Bit Edition。
  • 2003 年 8 月 18 日:更新了<先決條件>一節。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft 原先在 2003 年 7 月 16 日發行此資訊安全佈告欄與修補程式,以修正 Windows 分散式元件物件模型 (DCOM) 遠端程序呼叫 (RPC) 介面中的安全性弱點。這個修補程式對於消除此安全性弱點仍然十分有效。然而,原始資訊安全佈告欄中<緩和因素>與<其他可行方案>的內容並未清楚指出可能被此弱點利用的所有連接埠。Microsoft 已經更新此資訊安全佈告欄,詳細列出 RPC 服務可以叫用的連接埠,並確保選擇在安裝修補程式之前實作其他可行方案的客戶,都可以取得必要的資訊以保護他們的系統。已經安裝此修補程式的客戶可以避免此弱點遭到利用,而且不需採取進一步的動作。

遠端程序呼叫 (RPC) 是 Windows 作業系統所使用的通訊協定。RPC 提供處理序間通訊的機制,可以讓電腦上所執行的程式順利地執行遠端電腦上的程式碼。通訊協定本身衍生自「開放軟體基金會」(Open Software Foundation,OSF) RPC 通訊協定。Windows 所使用的 RPC 通訊協定包含某些 Microsoft 特定的擴充程式。

透過 TCP/IP 處理訊息交換的 RPC 功能中存有一個弱點。之所以產生錯誤,是因為不當處理格式錯誤的訊息所造成。這個特定弱點會影響使用 RPC 的分散式元件物件模型 (DCOM) 介面,這個介面會接聽啟用 RPC 的連接埠。這個介面負責處理用戶端電腦傳送到伺服器的 DCOM 物件啟動要求 (例如,通用命名慣例 [UNC] 路徑要求)。成功利用此弱點的攻擊者能夠在受影響的系統上使用本機系統權限執行程式碼。攻擊者能夠在系統上進行任何動作,包括安裝程式、檢視資料、變更資料、刪除資料,或者建立具有完整權限的新帳戶。

如果要利用此弱點,攻擊者必須傳送特別製作的要求到遠端電腦上特定的 RPC 連接埠。

緩和因素
  • 如果要利用此弱點,攻擊者必須傳送特別製作的要求到遠端電腦上的連接埠 135、連接埠 139、連接埠 445 或任何其他特別設定的 RPC 連接埠。如果是在內部網路的環境中,這些連接埠通常是可以存取的;如果是連線到網際網路的電腦,防火牆通常會阻擋這些連接埠。如果沒有阻擋這些連接埠,或是在內部網路的環境中,攻擊者就不需要任何額外的權限。
  • 最佳做法的建議包括了阻擋所有實際上未使用到的 TCP/IP 連接埠。根據預設,大多數的防火牆 (包括 Windows 網際網路連線防火牆 (ICF)) 都會阻擋那些連接埠。因此,大多數連線到網際網路的電腦,應該已經封鎖了 RPC over TCP 或 UDP。RPC over UDP 或 TCP 不適合在網際網路之類的非安全環境中使用。在較不安全的環境中,應該使用 RPC over HTTP 等更健全的通訊協定。

解決方案

安全性修補程式資訊

如需有關如何解決這個弱點的詳細資訊,請按一下下面清單中的適當連結:

Windows Server 2003 (所有版本)

下載資訊
您可以從「Microsoft 下載中心」下載下列檔案:

Windows Server 2003 32-Bit Edition
摺疊此圖像展開此圖像
下載
立即下載 823980 套件。
Windows Server 2003 64-Bit Edition 和 Windows XP 64-Bit Edition Version 2003
摺疊此圖像展開此圖像
下載
立即下載 823980 套件。
發行日期:2003 年 7 月 16 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用檔案發佈當日的最新病毒偵測軟體進行掃描。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。
先決條件
這個安全性修補程式需要 Windows Server 2003 的發行版本。
安裝資訊
這個安全性修補程式支援下面的安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動安裝模式。
  • /f:當電腦關機時,強制其他程式結束。
  • /n:移除檔案時不要備份。
  • /o:直接覆寫 OEM 檔案,不需提示。
  • /z:安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
  • /l:列出已安裝的 Hotfix。
  • /x:解壓縮檔案,但不執行安裝程式。
Microsoft 已發行網路系統管理員可以用於掃描網路的工具,以便於找出尚未安裝此安全性修補程式的系統。 如需有關這個工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827363 How to Use the KB 824146 Scanning Tool to Identify Host Computers That Do Not Have the 823980 (MS03-026) and the 824146 (MS03-039) Security Patches Installed
您也可以使用 Microsoft Baseline Security Analyzer (MBSA),或將電腦上的檔案版本與本文<檔案資訊>一節中的檔案清單相比較,或是確認下列登錄機碼是否存在,藉以檢查電腦上是否已安裝安全性修補程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
如果要確認是否已經安裝此更新,請使用 Microsoft Baseline Security Analyzer (MBSA)。如需有關 MBSA 的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
部署資訊
如果要在完全沒有使用者介入的情況下安裝安全性修補程式,請使用下列命令:
WindowsServer2003-KB823980-x86-ENU /u /q
如果要在不需將電腦強制重新啟動的情況下安裝安全性修補程式,請使用下列命令:
WindowsServer2003-KB823980-x86-ENU /z
注意 您可以將這些參數結合在單一命令列中使用。

如需有關如何使用 Software Update Services 部署此安全性修補程式的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新啟動需求
套用此安全性修補程式之後,您必須重新啟動電腦。
移除資訊
如果要移除這個安全性修補程式,請使用「控制台」中的「新增或移除程式」工具。

系統管理員可以使用 Spuninst.exe 公用程式移除此安全性修補程式。Spuninst.exe 公用程式位於 %Windir%\$NTUninstallKB823980$\Spuninst 資料夾中。這個公用程式支援下列安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動安裝模式。
  • /f:當電腦關機時,強制其他程式結束。
  • /z:安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
安全性修補程式取代資訊
在 Windows Server 2003 電腦中,這個安全性修補程式不會取代其他安全性修補程式。

這個安全性修補程式會由 824146 (MS03-039) 所取代。 如需有關 824146 安全性修補程式 (MS03-039) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146 MS03-039:RPCSS 緩衝區滿溢可能會允許攻擊者執行惡意的程式
檔案資訊
此修正程式的英文版具有下列表格中所列的檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

Windows Server 2003 32-Bit Edition:
摺疊此表格展開此表格
日期時間版本大小檔名資料夾
05-Jul-200318:035.2.3790.681,182,720Ole32.dll\rtmgdr
05-Jul-200318:035.2.3790.59657,920Rpcrt4.dll\rtmgdr
05-Jul-200318:035.2.3790.68217,088Rpcss.dll\rtmgdr
05-Jul-200318:015.2.3790.681,182,720Ole32.dll\rtmqfe
05-Jul-200318:015.2.3790.63658,432Rpcrt4.dll\rtmqfe
05-Jul-200318:015.2.3790.68217,600Rpcss.dll\rtmqfe


Windows Server 2003 64-Bit Edition 和 Windows XP 64-Bit Edition Version 2003:
摺疊此表格展開此表格
日期時間版本大小檔名資料夾
05-Jul-200318:055.2.3790.683,549,184Ole32.dll (IA64)\Rtmgdr
05-Jul-200318:055.2.3790.592,127,872Rpcrt4.dll (IA64)\Rtmgdr
05-Jul-200318:055.2.3790.68660,992Rpcss.dll (IA64)\Rtmgdr
05-Jul-200318:035.2.3790.681,182,720Wole32.dll (X86)\Rtmgdr\Wow
05-Jul-200318:035.2.3790.59539,648Wrpcrt4.dll (X86)\Rtmgdr\Wow
05-Jul-200318:035.2.3790.683,548,672Ole32.dll (IA64)\Rtmqfe
05-Jul-200318:035.2.3790.632,128,384Rpcrt4.dll (IA64)\Rtmqfe
05-Jul-200318:035.2.3790.68662,016Rpcss.dll (IA64)\Rtmqfe
05-Jul-200318:015.2.3790.681,182,720Wole32.dll (X86)\Rtmqfe\Wow
05-Jul-200318:015.2.3790.63539,648Wrpcrt4.dll (X86)\Rtmqfe\Wow
注意 當您在執行 Windows Server 2003 或 Windows XP 64-Bit Edition Version 2003 的電腦上安裝這個安全性修補程式時,安裝程式會檢查電腦上所要更新的檔案先前是否已經由 Microsoft Hotfix 加以更新。如果您先前已經安裝 Hotfix 以更新其中一個檔案,則安裝程式會將 Hotfix 檔案複製到您的電腦。否則,安裝程式會將 GDR 檔案複製到您的電腦。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824994 Windows Server 2003 產品更新套件內容的說明
您還可以藉由檢查下列的登錄機碼,確認此安全性修補程式所安裝的檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (所有版本)

下載資訊
您可以從「Microsoft 下載中心」下載下列檔案:

Windows XP Professional 和 Windows XP Home Edition
摺疊此圖像展開此圖像
下載
立即下載 823980 套件。
Windows XP 64-Bit Edition Version 2002
摺疊此圖像展開此圖像
下載
立即下載 823980 套件。
發行日期:2003 年 7 月 16 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用檔案發佈當日的最新病毒偵測軟體進行掃描。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。
先決條件
這個安全性修補程式需要 Windows XP 或 Windows XP Service Pack 1 (SP1) 的發行版本。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322389 如何取得最新版 Windows XP Service Pack
安裝資訊
這個安全性修補程式支援下面的安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動安裝模式。
  • /f:當電腦關機時,強制其他程式結束。
  • /n:移除檔案時不要備份。
  • /o:直接覆寫 OEM 檔案,不需提示。
  • /z:安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
  • /l:列出已安裝的 Hotfix。
  • /x:解壓縮檔案,但不執行安裝程式。
Microsoft 已發行網路系統管理員可以用於掃描網路的工具,以便於找出尚未安裝此安全性修補程式的系統。 如需有關這個工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827363 如何使用 KB 824146 掃描工具,找出沒有安裝 823980 (MS03-026) 和 824146 (MS03-039) 安全性補充程式的主機電腦
您也可以使用 Microsoft Baseline Security Analyzer (MBSA),或將電腦上的檔案版本與本文<檔案資訊>一節中的檔案清單相比較,或者確認下列登錄機碼是否存在,藉以檢查電腦上是否已經安裝安全性修補程式:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
如需有關 Microsoft Baseline Security Analyzer (MBSA) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
320454 Microsoft Baseline Security Analyzer (MBSA) 1.1.1 版已經發佈
部署資訊
如果要在完全沒有使用者介入的情況下安裝安全性修補程式,請使用下列命令:
WindowsXP-KB823980-x86-ENU /u /q
如果要在不需將電腦強制重新啟動的情況下安裝安全性修補程式,請使用下列命令:
WindowsXP-KB823980-x86-ENU /z
注意 您可以將這些參數結合在單一命令列中使用。

如需有關如何使用 Software Update Services 部署此安全性修補程式的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新啟動需求
套用此安全性修補程式之後,您必須重新啟動電腦。
移除資訊
如果要移除這個安全性修補程式,請使用「控制台」中的「新增或移除程式」工具。

系統管理員可以使用 Spuninst.exe 公用程式移除此安全性修補程式。Spuninst.exe 公用程式位於 %Windir%\$NTUninstallKB823980$\Spuninst 資料夾中。這個公用程式支援下列安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動安裝模式。
  • /f:當電腦關機時,強制其他程式結束。
  • /z:安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
安全性修補程式取代資訊
在 Windows XP 電腦中,這個安全性修補程式會取代 331953 (MS03-010)。

這個修補程式會由 824146 (MS03-039) 所取代。 如需有關 824146 安全性修補程式 (MS03-039) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146 MS03-039:RPCSS 緩衝區滿溢可能會允許攻擊者執行惡意的程式
檔案資訊
此修正程式的英文版具有下列表格中所列的檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

Windows XP Professional 和 Windows XP Home Edition:

摺疊此表格展開此表格
日期時間版本大小檔名
05-Jul-200319:145.1.2600.1151,092,096Ole32.dll pre-SP1
05-Jul-200319:145.1.2600.109439,296Rpcrt4.dll pre-SP1
05-Jul-200319:145.1.2600.115203,264Rpcss.dll pre-SP1
05-Jul-200319:125.1.2600.12431,120,256Ole32.dll with SP1
05-Jul-200319:125.1.2600.1230504,320Rpcrt4.dll with SP1
05-Jul-200319:125.1.2600.1243202,752Rpcss.dll with SP1
Windows XP 64-Bit Edition Version 2002:

摺疊此表格展開此表格
日期時間版本大小檔名
05-Jul-200319:155.1.2600.1154,191,744Ole32.dll (IA64) pre-SP1
05-Jul-200319:155.1.2600.1092,025,472Rpcrt4.dll (IA64) pre-SP1
05-Jul-200319:155.1.2600.115737,792Rpcss.dll (IA64) pre-SP1
05-Jul-200319:125.1.2600.12434,292,608Ole32.dll (IA64) with SP1
05-Jul-200319:125.1.2600.12302,292,224Rpcrt4.dll (IA64) with SP1
05-Jul-200319:125.1.2600.1243738,304Rpcss.dll (IA64) with SP1
05-Jul-200318:375.1.2600.1151,092,096Wole32.dll (X86) pre-SP1
03-Jan-200302:065.1.2600.109440,320Wrpcrt4.dll (X86) pre-SP1
05-Jul-200318:075.1.2600.12431,120,256Wole32.dll (X86) with SP1
04-Jun-200317:355.1.2600.1230505,344Wrpcrt4.dll (X86) with SP1

注意 此修補程式的 Windows XP 版本係封裝為雙重模式套件。 如需有關雙重模式套件的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的下列文件:
328848 說明 Windows XP 雙重模式更新程式套件

您還可以藉由檢查下列的登錄機碼,確認此安全性修補程式所安裝的檔案:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (所有版本)

下載資訊
您可以從「Microsoft 下載中心」下載下列檔案:

摺疊此圖像展開此圖像
下載
立即下載 823980 套件。
發行日期:2003 年 7 月 16 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用檔案發佈當日的最新病毒偵測軟體進行掃描。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

注意 在 Windows 2000 Datacenter Server 上不支援這個修補程式。如需有關如何取得適用於 Windows 2000 Datacenter Server 的安全性修補程式的詳細資訊,請連絡您的 OEM 廠商。 如需有關 Windows 2000 Datacenter Server 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
265173 Datacenter Program 和 Windows 2000 Datacenter Server 產品
先決條件
這個安全性修補程式需要 Windows 2000 Service Pack 2 (SP2)、Windows 2000 Service Pack 3 (SP3) 或 Windows 2000 Service Pack 4 (SP4)。

如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
260910 如何取得最新版的 Windows 2000 Service Pack
安裝資訊
這個安全性修補程式支援下面的安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動安裝模式。
  • /f:當電腦關機時,強制其他程式結束。
  • /n:移除檔案時不要備份。
  • /o:直接覆寫 OEM 檔案,不需提示。
  • /z:安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
  • /l:列出已安裝的 Hotfix。
  • /x:解壓縮檔案,但不執行安裝程式。
Microsoft 已發行了工具,讓您可以用來掃描網路,以找出尚未安裝此安全性修補程式的系統。 如需有關這個工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827363 How to Use the KB 824146 Scanning Tool to Identify Host Computers That Do Not Have the 823980 (MS03-026) and the 824146 (MS03-039) Security Patches Installed
您也可以使用 Microsoft Baseline Security Analyzer (MBSA),或將電腦上的檔案版本與本文<檔案資訊>一節中的檔案清單相比較,或是確認下列登錄機碼是否存在,藉以檢查電腦上是否已安裝安全性修補程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
如需有關 Microsoft Baseline Security Analyzer (MBSA) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
320454 Microsoft Baseline Security Analyzer (MBSA) 1.1.1 版已經發佈
部署資訊
如果要在完全沒有使用者介入的情況下安裝安全性修補程式,請使用下列命令:
Windows2000-KB823980-x86-ENU /u /q
如果要在不需將電腦強制重新啟動的情況下安裝安全性修補程式,請使用下列命令:
Windows2000-KB823980-x86-ENU /z
注意 您可以將這些參數結合在單一命令列中使用。

如需有關如何使用 Software Update Services 部署此安全性修補程式的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新啟動需求
套用此安全性修補程式之後,您必須重新啟動電腦。
移除資訊
如果要移除這個安全性修補程式,請使用「控制台」中的「新增或移除程式」工具。

系統管理員可以使用 Spuninst.exe 公用程式移除此安全性修補程式。Spuninst.exe 公用程式位於 %Windir%\$NTUninstallKB823980$\Spuninst 資料夾中。這個公用程式支援下列安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動安裝模式。
  • /f:當電腦關機時,強制其他程式結束。
  • /z:安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
安全性修補程式取代資訊
在 Windows 2000 電腦中,這個安全性修補程式會取代 331953 (MS03-010)。

這個修補程式會由 824146 (MS03-039) 所取代。 如需有關 824146 安全性修補程式 (MS03-039) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146 MS03-039:RPCSS 緩衝區滿溢可能會允許攻擊者執行惡意的程式
檔案資訊
此修正程式的英文版具有下列表格中所列的檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

摺疊此表格展開此表格
日期時間版本大小檔名
05-Jul-200317:155.0.2195.6769944,912Ole32.dll
05-Jul-200317:155.0.2195.6753432,400Rpcrt4.dll
05-Jul-200317:155.0.2195.6769188,688Rpcss.dll
您還可以藉由檢查下列的登錄機碼,確認此安全性修補程式所安裝的檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
目前 Microsoft 已提供支援的 Hotfix,但是其目的只是用於修正本文中所描述的問題。請只在發生此特定問題的系統上套用 Hotfix。

如果要解決此問題,請與「Microsoft 技術支援處」連絡,以取得此 Hotfix。如需「Microsoft 技術支援處」的完整電話號碼清單,以及支援費用的相關資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
注意 在某些特殊情況下,如果 Microsoft 技術支援工程師認為某特定更新程式可以解決您的問題時,可能就不會收取一般因支援電話所產生的費用。一般來說,如果有其他支援問題是所描述的特定更新程式無法解決的,才會收取支援費用。

Windows NT 4.0 (所有版本)

下載資訊
您可以從「Microsoft 下載中心」下載下列檔案:

Windows NT 4.0 Server:
摺疊此圖像展開此圖像
下載
立即下載 823980 套件。
Windows NT 4.0 Server Terminal Server Edition:
摺疊此圖像展開此圖像
下載
立即下載 823980 套件。
發行日期:2003 年 7 月 16 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用檔案發佈當日的最新病毒偵測軟體進行掃描。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。
先決條件
這個安全性修補程式需要 Windows NT 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6)。

注意 此安全性修補程式將安裝在 Windows NT 4.0 Workstation 上。但是,根據「Microsoft 產品技術支援週期」準則,Microsoft 將不再支援這個版本。此外,此安全性修補程式尚未在 Windows NT 4.0 Workstation 上進行測試。如需有關「Microsoft 產品技術支援週期」準則的詳細資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
152734 如何取得最新的 Windows NT 4.0 Service Pack
安裝資訊
這個安全性修補程式支援下面的安裝參數:
  • /y:執行移除 (只能與 /m/q 搭配使用)。
  • /f:當電腦關機時,強迫其他程式結束。
  • /n:不要建立 Uninstall 資料夾。
  • /z:完成更新時,不要重新啟動。
  • /q:使用無使用者介面的無訊息模式或自動安裝模式 (這個參數是 /m 的超集)。
  • /m:使用具有使用者介面的自動安裝模式。
  • /l:列出已安裝的 Hotfix。
  • /x:解壓縮檔案,但不執行安裝程式。
Microsoft 已發行了工具,讓您可以用來掃描網路,以找出尚未安裝此安全性修補程式的系統。 如需有關這個工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
827363 如何使用 KB 824146 掃描工具,找出沒有安裝 823980 (MS03-026) 和 824146 (MS03-039) 安全性補充程式的主機電腦
您也可以使用 Microsoft Baseline Security Analyzer (MBSA),或將電腦上的檔案版本與本文<檔案資訊>一節中的檔案清單相比較,或者確認下列登錄機碼是否存在,藉以檢查電腦上是否已經安裝安全性修補程式:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
如需有關 Microsoft Baseline Security Analyzer (MBSA) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
320454 Microsoft Baseline Security Analyzer (MBSA) 1.1.1 版已經發佈
部署資訊
如果要在完全沒有使用者介入的情況下安裝安全性修補程式,請使用下列命令:
Q823980i /q
如果要在不需將電腦強制重新啟動的情況下安裝安全性修補程式,請使用下列命令:
Q823980i /z
注意 您可以將這些參數結合在單一命令列中使用。

如需有關如何使用 Software Update Services 部署此安全性修補程式的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx
重新啟動需求
套用此安全性修補程式之後,您必須重新啟動電腦。
移除資訊
如果要移除這個安全性修補程式,請使用「控制台」中的「新增或移除程式」工具。

系統管理員可以使用 Spuninst.exe 公用程式移除此安全性修補程式。Spuninst.exe 公用程式位於 %Windir%\$NTUninstallKB823980$\Spuninst 資料夾中。這個公用程式支援下列安裝參數:
  • /?:顯示安裝參數清單。
  • /u:使用自動安裝模式。
  • /f:當電腦關機時,強制其他程式結束。
  • /z:安裝完成時,不要重新開機。
  • /q:使用無訊息模式 (沒有使用者互動)。
安全性修補程式取代資訊
在 Windows NT 4.0 電腦中,這個安全性修補程式會取代 Microsoft 資訊安全佈告欄 MS01-048 中所提供的安全性修補程式。

這個修補程式會由 824146 (MS03-039) 所取代。 如需有關 824146 安全性修補程式 (MS03-039) 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146 MS03-039:RPCSS 緩衝區滿溢可能會允許攻擊者執行惡意的程式
檔案資訊
此修正程式的英文版具有下列表格中所列的檔案屬性 (或更新)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

Windows NT 4.0 Server:
摺疊此表格展開此表格
日期時間版本大小檔名
05-Jul-20035:264.0.1381.7224701,200Ole32.dll
05-Jul-20035:264.0.1381.7219345,872Rpcrt4.dll
05-Jul-20035:264.0.1381.7224107,280Rpcss.exe
Windows NT 4.0 Server Terminal Server Edition:
摺疊此表格展開此表格
日期時間版本大小檔名
07-Jul-20033:294.0.1381.33549701,712Ole32.dll
07-Jul-20033:294.0.1381.33474345,360Rpcrt4.dll
07-Jul-20033:294.0.1381.33549109,328Rpcss.exe
如果要確認電腦上是否已經安裝安全性修補程式,請確認電腦上是否存有表格中所列出的全部檔案。

其他可行方案

雖然 Microsoft 呼籲所有客戶必須及早套用安全性修補程式,但是在這段過渡期間仍有其他解決方案可以使用,以防止此弱點被攻擊者利用。

這些解決方案只能用來阻擋攻擊的路徑,因此只能當做暫時的防範措施,並不能修正根本的弱點。

下一章節將告訴您,有助於保護電腦避免受到攻擊的相關資訊。每個章節將告訴您可用的解決方案,這些方案是依照您電腦的設定,以及所需要的功能層級而定。
  • 在受影響的電腦上,封鎖防火牆上的 UDP 連接埠 135、137、138 與 445,以及 TCP 連接埠 135、139、445 和 593,並停用會接聽連接埠 80 與 443 的「COM Internet 服務」(CIS) 和 RPC over HTTP。這些連接埠可以透過遠端電腦啟動 RPC 連線。封鎖防火牆上的這些連接埠,有助於位於防火牆後面的系統受到試圖利用這些弱點的攻擊。您也可以封鎖遠端電腦上的任何其他特別設定的 RPC 連接埠。

    如果啟用了 CIS 和 RPC over HTTP,則可以讓 DCOM 呼叫透過 TCP 連接埠 80 (及 Windows XP 和 Windows Server 2003 上的連接埠 443) 運作。請確認已經停用所有受影響電腦上的 CIS 和 RPC over HTTP。 如需有關如何停用 CIS 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    825819 如何移除 COM Internet 服務 (CIS) 和 RPC over HTTP Proxy 支援
    如需有關 RPC over HTTP 的詳細資訊,請造訪下列 Microsoft 網站:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
    此外,客戶可能已經設定了使用 RPC 的服務或通訊協定,而 RPC 可能也可以透過網際網路存取。我們強烈建議系統管理員檢查公佈在網際網路上的 RPC 連接埠,並在防火牆上封鎖這些連接埠,或者立即套用修補程式。
  • 使用「網際網路連線防火牆」,並停用會接聽受影響電腦上連接埠 80 和 443 的「COM Internet 服務」(CIS) 與 RPC over HTTP。 如果您使用 Windows XP 或 Windows Server 2003 中的「網際網路連線防火牆」功能來保護網際網路連線,預設將會阻擋從網際網路傳入的 RPC 輸送量。請確認已經停用所有受影響電腦上的 CIS 和 RPC over HTTP。 如需有關如何停用 CIS 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    825819 如何移除 COM Internet 服務 (CIS) 和 RPC over HTTP Proxy 支援
    如需有關 RPC over HTTP 的詳細資訊,請造訪下列 Microsoft 網站:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • 在受影響的電腦上,使用 IPSEC 篩選器並停用會接聽連接埠 80 和 443 的「COM Internet 服務」(CIS) 與 RPC over HTTP,以封鎖受影響的連接埠您可以使用「網際網路通訊協定安全性」(IPSec),確保 Windows 2000 電腦上網路通訊的安全。 如需有關 IPSec 及如何套用篩選器的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    313190 How to使用 Windows 2000 中的 IPSec IP 篩選器清單
    813878 How to block specific network protocols and ports by using IPSec
    請確認已經停用所有受影響電腦上的 CIS 和 RPC over HTTP。 如需有關如何停用 CIS 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    825819 如何移除 COM Internet 服務 (CIS) 和 RPC over HTTP Proxy 支援
  • 停用所有受影響電腦上的 DCOM:當電腦連線至網路時,DCOM Wire 通訊協定會讓電腦上的 COM 物件能夠與其他電腦上的 COM 物件進行通訊。

    您可以針對特定電腦停用 DCOM,以避免受到這個弱點的影響,但如此一來,便會停止該電腦的物件與其他電腦的物件之間的所有通訊。如果停用遠端電腦上的 DCOM,那麼您便無法遠端存取該電腦以重新啟用 DCOM。如果要重新啟用 DCOM,您必須實際存取該電腦。 如需有關如何停用 DCOM 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的下列文件:
    825750 如何在 Windows 中停用 DCOM 支援
    注意 在 Windows 2000 中,「Microsoft 知識庫」文件 825750 中所描述的停用 DCOM 方法,只適用於執行 Windows 2000 Service Pack 3 或更新版本的電腦。使用 Service Pack 2 或較舊版本的客戶,必須升級為較新版本的 Service Pack 或使用其他可行方案。

狀況說明

Microsoft 已確認這項問題將在本文開頭所列之 Microsoft 產品中造成一定程度的安全性弱點。

其他相關資訊

如需有關這個弱點的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS03-026.asp
如需有關保護用戶端和伺服器 RPC 安全的詳細資訊,請造訪下列 Microsoft 網站:
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
如需有關 RPC 所使用之連接埠的詳細資訊,請造訪下列 Microsoft 網站:
http://technet2.microsoft.com/WindowsServer/en/library/4dbc4c95-935b-4617-b4f8-20fc947c72881033.mspx?mfr=true
如需有關嘗試利用安全性修補程式所修正弱點之 Blaster 蠕蟲病毒的詳細資訊,請按一下下列的文件編號,檢視「Microsoft 知識庫」中的文件:
826955 關於 Blaster 蠕蟲及變種的病毒警告
如需有關嘗試利用安全性修補程式所修正弱點之 Nachi 蠕蟲病毒的詳細資訊,請按一下下列的文件編號,檢視「Microsoft 知識庫」中的文件:
826234 Nachi 病蟲的病毒警訊
如需有關如何取得 Windows 2000 Datacenter Server Hotfix 的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
265173 Datacenter Program 和 Windows 2000 Datacenter Server 產品

屬性

文章編號: 823980 - 上次校閱: 2007年2月16日 - 版次: 18.3
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
關鍵字:?
kbhotfixserver atdownload kbwinxpsp2fix kbbug kbfix kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbwinserv2003presp1fix kbwinxppresp2fix kbwinnt400presp7fix KB823980
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com