MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program

Artikelöversättning Artikelöversättning
Artikel-id: 824146 - Visa produkter som artikeln gäller.

Teknisk uppdatering


Obs! Den här bulletinen (MS03-039) har ersatts av Microsoft-säkerhetsbulletinen MS04-012.

Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
828741 MS04-012: Kumulativ uppdatering för Microsoft RPC/DCOM
  • 12 september 2003:
    • I "Information om hämtning" för Windows XP har en anmärkning lagts till som anger att säkerhetskorrigeringen för Windows XP 64-bitarsutgåva, version 2003, är samma som säkerhetskorrigeringen för 64-bitarsversioner av Windows Server 2003.
    • I "Filinformation" för Windows XP har registreringsinformation lagts till för filmanifesten för 64-bitarsutgåvor av Windows XP och för Windows XP utan Service Pack 1 (SP1).
    • I "Filinformation" har en anmärkning lagts till om att registernyckeln för filmanifesten för den här säkerhetskorrigeringen inte skapas när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) den här säkerhetskorrigeringen i källfilerna för Windows-installationen.
    • I "Installationsinformation" för Windows Server 2003 och Windows XP har en anmärkning lagts till om att MBSA Version 1.1.1 felaktigt rapporterar att 824146 inte har installerats, om RTMQFE-versionerna av filerna i den här säkerhetskorrigeringen används på datorer med Windows Server 2003 eller Windows XP 64-bitarsutgåva version 2003.
    • Avsnitten "Information om hämtning" och "Förutsättningar" för Windows 2000 har uppdaterats och anger att den här säkerhetskorrigeringen kan installeras i Windows 2000 Datacenter Server Service Pack 3 (SP3) och Service Pack 4 (SP4).
Visa alla | Dölj alla

På den här sidan

Symptom

RPC (Remote Procedure Call) är ett protokoll som används i Windows. Det innehåller en funktion för kommunikation mellan processer, som gör att kod från ett program som körs på en dator utan problem får tillgång till tjänster på en annan dator. Själva protokollet kommer från RPC-protokollet från OSF (Open Software Foundation), men det finns vissa Microsoft-specifika tillägg.

I den del av Windows RPC-tjänsten (RPCSS) där RPC-meddelanden för DCOM-aktivering behandlas har tre säkerhetsproblem identifierats. Två av säkerhetsproblemen kan ge en angripare möjlighet att köra skadliga program, och det tredje problemet kan medföra en DoS-attack. Dessa fel beror på felaktig hantering av meddelanden med felaktigt format. Dessa säkerhetsproblem påverkar DCOM-gränssnittet (Distributed Component Object Model) i RPCSS. I detta gränssnitt hanteras aktiveringsbegäranden för DCOM-objekt från klientdatorer till servern.

En angripare skulle kunna utnyttja dessa säkerhetsproblem för att köra kod med behörigheten för Lokalt system eller orsaka att RPCSS upphör att fungera. Angriparen skulle sedan kunna utföra valfria åtgärder på datorn, till exempel installera program, visa data, ändra data, ta bort data eller skapa nya konton med fullständig behörighet.

En angripare skulle kunna utnyttja dessa säkerhetsproblem genom att skapa ett program för att skicka RPC-meddelanden med felaktigt format till RPCSS på en server.

Begränsande faktorer

  • Säkerhetsrutiner och standardkonfigurationer för brandväggen kan skydda nätverk mot fjärrattacker från datorer utanför företaget. Vanligen bör alla oanvända portar blockeras. Därför ska minsta möjliga antal portar vara exponerade på de flesta datorer som är anslutna till Internet. Om du vill veta mer om de portar som används i RPC besöker du följande Microsoft-webbplats:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true
Obs! Microsoft har kontrollerat om Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP och Windows Server 2003 berörs av dessa säkerhetsproblem. De funktioner som berörs av säkerhetsproblemen finns inte i Microsoft Windows Millennium Edition (ME). Tidigare versioner av Windows stöds inte längre och kan eventuellt påverkas av dessa säkerhetsproblem. Ytterligare information om Microsofts supportlivscykel finns på följande Microsoft-webbplats:
http://support.microsoft.com/default.aspx?scid=fh;sv-se;lifecycle
Obs! De funktioner som berörs av dessa säkerhetsproblem ingår inte heller i Microsoft Windows 95, Microsoft Windows 98 eller Microsoft Windows 98, andra utgåvan, även om DCOM är installerat.

Lösning

Information om säkerhetskorrigeringen

Om du vill veta hur du löser detta säkerhetsproblem kan du klicka på någon av följande länkar:

Windows Server 2003 (alla versioner)

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:

Windows Server 2003, Enterprise Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Web Edition, och Windows Server 2003, Datacenter Edition
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Windows Server 2003, 64-bitars Enterprise Edition och Windows Server 2003, 64-bitars Datacenter Edition
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna säkerhetskorrigering kräver den utgivna versionen av Windows Server 2003.

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn. Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig
Obs! I MBSA Version 1.1.1 rapporteras felaktigt att 824146 inte har installerats, om RTMQFE-versionerna av filerna för den här säkerhetskorrigeringen används i miljön.

Du kan kanske också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windowsserver2003-kb824146-x86-enu /u /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windowsserver2003-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Microsoft Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort uppdateringen med verktyget Lägg till eller ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, som finns i mappen %Windir%\$NTUninstallKB824146$\Spuninst och stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980). Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Windows Server 2003, Enterprise Edition, Windows Server 2003, Standard Edition, Windows Server 2003, Web Edition och Windows Server 2003, Datacenter Edition:
   Datum         Tid   Version      Storlek       Filnamn   Mapp
   --------------------------------------------------------------
   23-aug-2003  18:56  5.2.3790.80  1 183 744  Ole32.dll   RTMGDR
   23-aug-2003  18:56  5.2.3790.76    657 920  Rpcrt4.dll  RTMGDR
   23-aug-2003  18:56  5.2.3790.80    284 672  Rpcss.dll   RTMGDR
   23-aug-2003  18:48  5.2.3790.80  1 183 744  Ole32.dll   RTMQFE
   23-aug-2003  18:48  5.2.3790.76    658 432  Rpcrt4.dll  RTMQFE
   23-aug-2003  18:48  5.2.3790.80    285 184  Rpcss.dll   RTMQFE
Windows Server 2003, 64-bitars Enterprise Edition och Windows Server 2003, 64-bitars Datacenter Edition:
   Datum         Tid   Version      Storlek       Filnamn    Plattform  Mapp
   -------------------------------------------------------------------------
   23-aug-2003  18:56  5.2.3790.80  3 551 744  Ole32.dll    IA64      RTMGDR
   23-aug-2003  18:56  5.2.3790.76  2 127 872  Rpcrt4.dll   IA64      RTMGDR
   23-aug-2003  18:56  5.2.3790.80    665 600  Rpcss.dll    IA64      RTMGDR
   23-aug-2003  18:56  5.2.3790.80  1 183 744  Wole32.dll   x86       RTMGDR
   23-aug-2003  18:56  5.2.3790.76    539 648  Wrpcrt4.dll  x86       RTMGDR
   23-aug-2003  18:48  5.2.3790.80  3 551 232  Ole32.dll    IA64      RTMQFE
   23-aug-2003  18:48  5.2.3790.76  2 128 384  Rpcrt4.dll   IA64      RTMGDR
   23-aug-2003  18:48  5.2.3790.80    666 624  Rpcss.dll    IA64      RTMGDR
   23-aug-2003  18:48  5.2.3790.80  1 183 744  Wole32.dll   x86       RTMGDR
   23-aug-2003  18:48  5.2.3790.76    539 648  Wrpcrt4.dll  x86       RTMGDR
Obs! När denna säkerhetskorrigering installeras på en dator med Windows Server 2003 eller Windows XP 64-bitarsutgåva version 2003, kontrolleras automatiskt om några av de filer som uppdateras på datorn tidigare har uppdaterats med en snabbkorrigering från Microsoft. Om du tidigare har installerat en snabbkorrigering för att uppdatera någon av dessa filer kopieras RTMQFE-filerna till datorn. Annars kopieras RTMGDR-filerna till datorn. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824994 Beskrivning av innehållet i programuppdateringspaket för Windows XP Service Pack 2 och Windows Server 2003 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigeringen 824146 i källfilerna för Windows-installationen.

Windows XP (alla versioner)

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition och Windows XP Media Center Edition
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Windows XP 64-bitarsutgåva version 2002
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Windows XP 64-bitarsutgåva version 2003
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Obs! För Windows XP 64-bitarsutgåva, version 2003, är den här säkerhetskorrigeringen samma som säkerhetskorrigeringen för 64-bitarsversioner av Windows Server 2003. Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna säkerhetskorrigering kräver den utgivna versionen av Windows XP eller Windows XP Service Pack 1 (SP1). Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
322389 Skaffa den senaste Service Pack-versionen för Windows XP
Installationsinformation
Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn. Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig
Obs! I MBSA Version 1.1.1 rapporteras felaktigt att 824146 inte har installerats, om RTMQFE-versionerna av filerna för den här säkerhetskorrigeringen används på en dator med Windows XP 64-bitarsutgåva, version 2003.

Du kan också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:

Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
Windows XP med Service Pack 1 (SP1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146
Windows XP 64-bitarsutgåva, version 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windowsxp-kb824146-x86-enu /u /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windowsxp-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort korrigeringsfilen med verktyget Lägg till eller ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, som finns i mappen %Windir%\$NTUninstallKB824146$\Spuninst och stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980). Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition och Windows XP Media Center Edition:
   Datum         Tid   Version        Storlek       Filnamn
   -------------------------------------------------------------------
   25-aug-2003  22:29  5.1.2600.118   1 093 632  Ole32.dll  (utan SP1)
   25-aug-2003  22:29  5.1.2600.109     439 296  Rpcrt4.dll (utan SP1)
   25-aug-2003  22:29  5.1.2600.118     204 288  Rpcss.dll  (utan SP1)
   25-aug-2003  18:53  5.1.2600.1263  1 172 992  Ole32.dll  (med SP1)
   25-aug-2003  18:53  5.1.2600.1254    532 480  Rpcrt4.dll (med SP1)
   25-aug-2003  18:53  5.1.2600.1263    260 608  Rpcss.dll  (med SP1)
Windows XP 64-bitarsutgåva version 2002:
   Datum         Tid   Version        Storlek       Filnamn    Plattform
   --------------------------------------------------------------------------
   25-aug-2003  19:30  5.1.2600.118   4 195 840  Ole32.dll    IA64 (utan SP1)
   25-aug-2003  19:30  5.1.2600.109   2 025 472  Rpcrt4.dll   IA64 (utan SP1)
   25-aug-2003  19:30  5.1.2600.118     741 888  Rpcss.dll    IA64 (utan SP1)
   20-aug-2003  18:16  5.1.2600.118   1 093 632  Wole32.dll   x86  (utan SP1)
   02-jan-2003  23:06  5.1.2600.109     440 320  Wrpcrt4.dll  x86  (utan SP1)
   27-aug-2003  18:12  5.1.2600.1263  4 296 192  Ole32.dll    IA64 (med SP1)
   27-aug-2003  18:12  5.1.2600.1254  2 298 880  Rpcrt4.dll   IA64 (med SP1)
   27-aug-2003  18:12  5.1.2600.1263    742 400  Rpcss.dll    IA64 (med SP1)
   27-aug-2003  17:27  5.1.2600.1263  1 172 992  Wole32.dll   x86  (med SP1)
   02-aug-2003  22:14  5.1.2600.1254    506 880  Wrpcrt4.dll  x86  (med SP1)
Windows XP 64-bitarsutgåva version 2003:
   Datum         Tid   Version      Storlek       Filnamn    Plattform  Mapp
   -------------------------------------------------------------------------
   23-aug-2003  18:56  5.2.3790.80  3 551 744  Ole32.dll    IA64      RTMGDR
   23-aug-2003  18:56  5.2.3790.76  2 127 872  Rpcrt4.dll   IA64      RTMGDR
   23-aug-2003  18:56  5.2.3790.80    665 600  Rpcss.dll    IA64      RTMGDR
   23-aug-2003  18:56  5.2.3790.80  1 183 744  Wole32.dll   x86       RTMGDR
   23-aug-2003  18:56  5.2.3790.76    539 648  Wrpcrt4.dll  x86       RTMGDR
   23-aug-2003  18:48  5.2.3790.80  3 551 232  Ole32.dll    IA64      RTMQFE
   23-aug-2003  18:48  5.2.3790.76  2 128 384  Rpcrt4.dll   IA64      RTMGDR
   23-aug-2003  18:48  5.2.3790.80    666 624  Rpcss.dll    IA64      RTMGDR
   23-aug-2003  18:48  5.2.3790.80  1 183 744  Wole32.dll   x86       RTMGDR
   23-aug-2003  18:48  5.2.3790.76    539 648  Wrpcrt4.dll  x86       RTMGDR
Obs!
  • När säkerhetskorrigeringen för Windows XP 64-bitarsutgåva version 2003 installeras, kontrolleras automatiskt om några av de filer som uppdateras på datorn tidigare har uppdaterats med en snabbkorrigering från Microsoft. Om du tidigare har installerat en snabbkorrigering för att uppdatera någon av dessa filer kopieras RTMQFE-filerna till datorn. Annars kopieras RTMGDR-filerna till datorn. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    824994 Beskrivning av innehållet i programuppdateringspaket för Windows XP Service Pack 2 och Windows Server 2003 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
  • Versionerna av denna säkerhetskorrigering för Windows XP och Windows XP 64-bitarsutgåva version 2002 är förpackade som paket för dubbla lägen. Paket för dubbla lägen innehåller filer för både den ursprungliga versionen av Windows XP och Windows XP Service Pack 1 (SP1). Om du vill veta mer om paket för dubbla lägen klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    328848 Beskrivning av uppdateringspaket för dubbla lägen för Windows XP (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernycklar:

Windows XP Home Edition SP1; Windows XP Professional SP1; Windows XP 64-bitarsutgåva, version 2002 SP1; Windows XP Tablet PC Edition; Windows XP Media Center Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146\Filelist
Windows XP Home Edition; Windows XP Professional; Windows XP 64-bitarsutgåva, version 2002:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146\Filelist
Windows XP 64-bitarsutgåva, version 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigering 824146 i källfilerna för Windows-installationen.
Lös problemet genom att hämta Samlad uppdatering 1 för Windows 2000 SP4. Om du vill veta mer om hur du gör klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
891861 Samlad uppdatering 1 för Windows 2000 SP4 och kända problem

Windows 2000

Information om hämtning

Följande fil kan hämtas från Microsoft Download Center:

Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

För Windows 2000 Datacenter Server kräver denna säkerhetskorrigering Service Pack 3 (SP3). För andra versioner av Windows 2000 kräver denna säkerhetskorrigering Service Pack 2 (SP2), Service Pack 3 (SP3) eller Service Pack 4 (SP4).

Obs! Windows 2000 Service Pack 2 har nått slutet av sin livscykel, vilket tidigare har dokumenterats, och Microsoft tillhandahåller normalt inte allmänt tillgängliga säkerhetskorrigeringar för denna produkt. På grund av att säkerhetsproblemet har särskilda egenskaper, livscykeln har nått sitt slut alldeles nyligen och många kunder för närvarande använder Windows 2000 Service Pack 2 har Microsoft beslutat att göra ett undantag för detta säkerhetsproblem.

Microsoft har inte för avsikt att göra samma sak för framtida säkerhetsproblem men förbehåller sig rätten att ta fram säkerhetskorrigeringar vid behov och göra dem tillgängliga. Microsoft uppmanar kunder med Windows 2000 Service Pack 2 att byta till Windows-versioner som stöds för att undvika framtida säkerhetsproblem. Mer information om livscykeln för Windows-produkter finns på följande Microsoft-webbplats:
http://www.microsoft.com/windows/lifecycle/default.mspx
Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
260910 Skaffa den senaste Service Pack-versionen för Windows 2000

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn. Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig
Du kan också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windows2000-kb824146-x86-enu /u /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windows2000-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort denna säkerhetskorrigering med verktyget Lägg till/ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, som finns i mappen %Windir%\$NTUninstallKB824146$\Spuninst och stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980). Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.
   Datum         Tid   Version        Storlek       Filnamn
   ------------------------------------------------------
   23-aug-2003  18:48  5.0.2195.6810  945 936  Ole32.dll
   23-aug-2003  18:48  5.0.2195.6802  432 912  Rpcrt4.dll
   23-aug-2003  18:48  5.0.2195.6810  192 272  Rpcss.dll 
Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146\Filelist
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigeringen 824146 i källfilerna för Windows-installationen.

Windows NT 4.0 (alla versioner)

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:

Windows NT Workstation 4.0
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Windows NT Server 4.0
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Windows NT Server 4.0, Terminal Server Edition
Dölj bildenVisa bilden
Hämta
Hämta paket 824146 nu
Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna säkerhetskorrigering kräver Windows NT Server 4.0 Service Pack 6a (SP6a), Windows NT Workstation 4.0 Service Pack 6a (SP6a) eller Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 (SP6).

Obs! Windows NT Workstation 4.0 har nått slutet av sin livscykel, vilket tidigare har dokumenterats, och Microsoft tillhandahåller normalt inte allmänt tillgängliga säkerhetskorrigeringar för denna produkt. På grund av säkerhetsproblemets karaktär samt det faktum att livscykeln har nått sitt slut alldeles nyligen och att många kunder för närvarande använder Windows 4.0 Service Pack 2, har Microsoft beslutat att göra ett undantag för detta säkerhetsproblem.

Microsoft har inte för avsikt att göra samma sak för framtida säkerhetsproblem men förbehåller sig rätten att ta fram säkerhetskorrigeringar vid behov och göra dem tillgängliga. Microsoft uppmanar kunder med Windows NT Workstation 4.0 att byta till Windows-versioner som stöds för att inte utsättas för framtida säkerhetsproblem. Mer information om livscykeln för Windows-produkter finns på följande Microsoft-webbplats:
http://www.microsoft.com/windows/lifecycle/default.mspx
Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
152734 Skaffa den senaste Service Pack-versionen för Windows NT 4.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /y : Utför borttagning (endast med /m eller /q).
  • /f: Tvinga program att avslutas under avslutningsprocessen.
  • /n: Skapa inte en avinstallationsmapp.
  • /z: Starta inte om när uppdateringen är klar.
  • /q : Använd tyst eller oövervakat läge utan användargränssnitt (denna växel inbegriper /m).
  • /m : Använd oövervakat läge med användargränssnitt.
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn. Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)
Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig
Du kan också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windowsnt4server-kb824146-x86-enu /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windowsnt4server-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort denna säkerhetskorrigering med verktyget Lägg till/ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort denna säkerhetskorrigering med verktyget Hotfix.exe. Hotfix.exe finns i mappen %Windir%\$NTUninstallKB824146$. Verktyget stöder följande installationsväxlar:
  • /y : Utför borttagning (endast med växeln /m eller /q).
  • /f: Tvinga program att avslutas under avslutningsprocessen.
  • /n: Skapa inte en avinstallationsmapp.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst eller oövervakat läge utan användargränssnitt (denna växel inbegriper växeln /m).
  • /m : Använd oövervakat läge med användargränssnitt.
  • /l: Visa en lista över installerade snabbkorrigeringar.

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980). Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Windows NT Server 4.0:
   Datum         Tid   Version        Storlek       Filnamn
   ------------------------------------------------------
   11-aug-2003  11:29  4.0.1381.7230  701 200  Ole32.dll 
   11-aug-2003  11:29  4.0.1381.7230  345 872  Rpcrt4.dll
   11-aug-2003  11:29  4.0.1381.7230  107 792  Rpcss.exe 
Windows NT Server 4.0, Terminal Server Edition:
   Datum         Tid   Version        Storlek       Filnamn
   -------------------------------------------------------
   11-aug-2003  12:30  4.0.1381.33551  701 712  Ole32.dll 
   11-aug-2003  12:14  4.0.1381.33551  345 360  Rpcrt4.dll
   11-aug-2003  12:30  4.0.1381.33551  109 328  Rpcss.exe
Windows NT Workstation 4.0:
   Datum         Tid   Version        Storlek       Filnamn
   ------------------------------------------------------
   11-aug-2003  11:29  4.0.1381.7230  701 200  Ole32.dll 
   11-aug-2003  11:29  4.0.1381.7230  345 872  Rpcrt4.dll
   11-aug-2003  11:29  4.0.1381.7230  107 792  Rpcss.exe 
Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146\File 1
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigeringen 824146 i källfilerna för Windows-installationen.

Workaround

Även om Microsoft uppmanar alla kunder att installera säkerhetskorrigeringen så snart som möjligt, finns det flera sätt att tillfälligt förhindra att säkerhetsproblemet utnyttjas. Det finns inga garantier för att dessa lösningar blockerar alla angreppsvägar.

Obs! Dessa lösningar är tillfälliga åtgärder, eftersom de bara bidrar till att blockera angreppsvägar i stället för att undanröja det underliggande säkerhetsproblemet.
  • Blockera UDP-portarna 135, 137, 138 och 445 samt TCP-portarna 135, 139, 445 och 593 i brandväggen. Inaktivera också CIS (COM Internet Services) och RPC via HTTP. CIS och RPC via HTTP lyssnar på portarna 80 och 443 på de aktuella datorerna.

    Dessa portar används för att initiera en RPC-anslutning till en fjärrdator. Om de blockeras i brandväggen kan det förhindra att dessa säkerhetsproblem utnyttjas för angrepp på datorer bakom brandväggen. Blockera också alla andra särskilt konfigurerade RPC-portar på fjärrdatorn.

    Om CIS och RPC via HTTP aktiveras kan DCOM-anrop fungera via TCP-port 80 (och port 443 i Windows XP och Windows Server 2003). Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer. Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Använd Brandvägg för Internet-anslutning, och inaktivera CIS (COM Internet Services) och RPC via HTTP. CIS och RPC via HTTP lyssnar på portarna 80 och 443 på de aktuella datorerna.

    Om du använder Brandvägg för Internet-anslutning i Windows XP eller Windows Server 2003 för att skydda Internet-anslutningen, blockeras som standard inkommande RPC-trafik från Internet.

    Obs! Brandvägg för Internet-anslutning finns i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition. Basic Firewall är en del av Routning och fjärråtkomst som kan aktiveras för alla offentliga gränssnitt på en dator med både Routning och fjärråtkomst och Windows Server 2003.

    Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer. Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Blockera de aktuella portarna med hjälp av ett IPSec-filter (Internet Protocol Security) samt inaktivera CIS (COM Internet Services) och RPC via HTTP. CIS och RPC via HTTP lyssnar på portarna 80 och 443 på de aktuella datorerna.

    Säkerheten i nätverkskommunikation på datorer med Windows 2000 kan ökas med hjälp av IPSec. Om du vill veta mer om IPSec och användning av IP-filterlistor i Windows 2000 klickar du på artikelnumren nedan och läser artiklarna i Microsoft Knowledge Base:
    313190 Använda IPSec-IP-filterlistor i Windows 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    813878 Blockera vissa nätverksprotokoll och portar med hjälp av IPSec (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer. Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • Inaktivera DCOM på alla aktuella datorer. När en dator ingår i ett nätverk gör DCOM-protokollet att COM-objekt på datorn kan kommunicera med COM-objekt på andra datorer.

    Du kan inaktivera DCOM på en dator som skydd mot detta säkerhetsproblem, men då inaktiveras all kommunikation mellan objekt på denna dator och objekt på andra datorer. Om du inaktiverar DCOM på en fjärrdator kan du inte fjärransluta till denna dator för att åter aktivera DCOM. För att kunna aktivera DCOM igen måste du ha fysisk tillgång till datorn. Om du vill veta mer om hur du inaktiverar DCOM klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825750 Inaktivera DCOM-stöd i Windows (Länken kan leda till en webbplats som är helt eller delvis på engelska)
    Obs! För Windows 2000 fungerar metoderna i artikel 825750 i Microsoft Knowledge Base endast på datorer med Service Pack 3 eller senare. Kunder som använder Service Pack 2 eller tidigare måste uppgradera till en senare Service Pack-version eller använda någon av de andra lösningarna.

Status

Microsoft har bekräftat att detta är ett säkerhetsproblem i de Microsoft-produkter som nämns i början av denna artikel. Det här problemet korrigerades först i Windows 2000 Service Pack 4.

Mer Information

Mer information om detta säkerhetsproblem finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
Mer information om hur RPC kan säkras för klienter och servrar finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
Mer information om de portar som används i RPC finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true

Egenskaper

Artikel-id: 824146 - Senaste granskning: den 16 februari 2007 - Revision: 11.4
Informationen i denna artikel gäller:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Nyckelord: 
kbhotfixserver kbwinxppresp2fix kbwinserv2003presp1fix kbwinnt400presp7fix kbwin2000presp5fix kbfix kbbug kbsecvulnerability kbsecbulletin kbsecurity kbqfe KB824146

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com