MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序

文章翻译 文章翻译
文章编号: 824146 - 查看本文应用于的产品

技术更新


注意:此公告 (MS03-039) 已被 Microsoft 安全公告 MS04-012 所取代。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
828741 MS04-012:Microsoft RPC/DCOM 累积更新
  • 2003 年 9 月 12 日:
    • 在 Windows XP 的“下载信息”部分中添加了一条注释,指明用于 Windows XP 64-Bit Edition 版本 2003 的安全修补程序与用于 64 位版本 Windows Server 2003 的安全修补程序相同。
    • 在 Windows XP 的“文件信息”部分中,为 64 位版本的 Windows XP 和不带 Service Pack 1 (SP1) 的 Windows XP 的文件清单添加了注册信息。
    • 在“文件信息”部分中添加了一条注释,指明管理员或 OEM 在将此安全修补程序集成或组合到其 Windows 安装源文件中时,未创建此安全修补程序文件清单的注册表项。
    • 在 Windows Server 2003 和 Windows XP 的“安装信息”部分中添加了一条注释,指明如果您的环境在运行 Windows Server 2003 或 Windows XP 64 位 Edition 版本 2003 的计算机上使用此安全修补程序文件的 RTMQFE 版本,MBSA 版本 1.1.1 将错误地报告未安装 824146。
    • 更新了 Windows 2000 的“下载信息”和“先决条件”部分,指明可在 Windows 2000 Datacenter Server Service Pack 3 (SP3) 和 Service Pack 4 (SP4) 上安装此安全修补程序。
展开全部 | 关闭全部

本文内容

症状

远程过程调用 (RPC) 是 Windows 使用的一种协议。RPC 提供了一种进程间通信机制,一台计算机上运行的程序可以通过该机制无缝地访问另一台计算机上的服务。该协议本身是从开放软件基金会 (OSF) 开发的 RPC 协议衍生出来的,但增加了一些 Microsoft 所特有的扩展。

在 Windows RPC 服务 (RPCSS) 中负责处理有关 DCOM 激活的 RPC 消息的部分中,存在三个已确定的漏洞。其中两个漏洞可能允许攻击者运行恶意程序;另外一个漏洞可能导致拒绝服务。这些缺陷的根源在于,处理含有恶意代码的消息的方式不正确。这些漏洞会影响 RPCSS 中的分布式组件对象模型 (DCOM) 接口。此接口负责处理客户端计算机发送到服务器的 DCOM 对象激活请求。

成功利用这些漏洞的攻击者可能在受影响的计算机上使用本地系统权限运行代码,或者可能导致 RPCSS 停止工作。攻击者可随后在该计算机上执行任何操作,包括安装程序;查看、更改或删除数据;或者创建具有完全权限的帐户。

为了利用这些漏洞,攻击者可能创建一个漏洞攻击程序,向存在漏洞的服务器上的 RPCSS 发送一条含有恶意代码的 RPC 消息。

减轻影响的因素

  • 采用防火墙的最佳做法和标准的默认防火墙配置,可有助于保护网络免受来自企业防线外部的远程攻击。建议的最佳做法是,阻塞所有未实际使用的端口。因此,大多数连接到 Internet 的计算机应该公开最少数量的受影响端口。有关 RPC 使用的端口的详细信息,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true
注意:Microsoft 对 Windows NT Workstation 4.0、Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版、Windows 2000、Windows XP 和 Windows Server 2003 进行了测试,以评估它们是否受到这些漏洞的影响。Microsoft Windows Millennium Edition (Me) 不包含与这些漏洞相关联的功能。不再支持早期的 Windows 版本,它们可能会受到这些漏洞的影响,也可能不会受到影响。有关 Microsoft 支持生命周期的其他信息,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];lifecycle
注意:Microsoft Windows 95、Microsoft Windows 98 和 Microsoft Windows 98 Second Edition 中也不包含与这些漏洞相关联的功能(即使安装了 DCOM 也是如此)。

解决方案

安全修补程序信息

有关如何消除此漏洞的信息,请单击下面的相应链接:

Windows Server 2003(所有版本)

下载信息

可以从 Microsoft 下载中心下载以下文件:

Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Datacenter Edition
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
Windows Server 2003 64-Bit Enterprise Edition 和 Windows Server 2003 64-Bit Datacenter Edition
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
发布日期:2003 年 9 月 10 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

此安全修补程序需要 Windows Server 2003 的发行版本。

安装信息

此安全修补程序支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不经提示即覆盖 OEM 文件。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
要检查计算机上是否安装了该安全修补程序,请使用 KB 824146 扫描工具 (KB824146scan.exe) 或使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 有关 KB824146scan.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
有关 MBSA 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) 版本 1.2.1 已推出
注意:如果您的环境中使用此安全修补程序文件的 RTMQFE 版本,MBSA 版本 1.1.1 将错误地报告未安装 824146。

也可以通过确认以下注册表项是否存在,来验证是否安装了此安全修补程序:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

部署信息

要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令行:
Windowsserver2003-kb824146-x86-CHS /u /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用以下命令行:
Windowsserver2003-kb824146-x86-CHS /z
注意:可以在一个命令行中组合使用这些开关。

有关如何使用 Microsoft 软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://technet.microsoft.com/wsus/bb466201.aspx

重新启动要求

应用此安全修补程序后,必须重新启动计算机。

删除信息

要删除此更新,请使用“控制面板”中的“添加或删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB824146$\Spuninst 文件夹中,它支持下面的安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。

安全修补程序替换信息

此安全修补程序替代 MS03-026 (823980)。 有关 MS03-026 (823980) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823980 MS03-026:RPC 中的缓冲区溢出可能允许代码执行

文件信息

此版本的英语版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Datacenter Edition:
日期           时间    版本           大小        文件名        文件夹
--------------------------------------------------------------
23-Aug-2003  18:56  5.2.3790.80  1,183,744  Ole32.dll   RTMGDR
23-Aug-2003  18:56  5.2.3790.76    657,920  Rpcrt4.dll  RTMGDR
23-Aug-2003  18:56  5.2.3790.80    284,672  Rpcss.dll   RTMGDR
23-Aug-2003  18:48  5.2.3790.80  1,183,744  Ole32.dll   RTMQFE
23-Aug-2003  18:48  5.2.3790.76    658,432  Rpcrt4.dll  RTMQFE
23-Aug-2003  18:48  5.2.3790.80    285,184  Rpcss.dll   RTMQFE
Windows Server 2003 64-Bit Enterprise Edition 和 Windows Server 2003 64-Bit Datacenter Edition:
日期           时间    版本           大小        文件名         平台        文件夹
-------------------------------------------------------------------------
23-Aug-2003  18:56  5.2.3790.80  3,551,744  Ole32.dll    IA64      RTMGDR
23-Aug-2003  18:56  5.2.3790.76  2,127,872  Rpcrt4.dll   IA64      RTMGDR
23-Aug-2003  18:56  5.2.3790.80    665,600  Rpcss.dll    IA64      RTMGDR
23-Aug-2003  18:56  5.2.3790.80  1,183,744  Wole32.dll   x86       RTMGDR
23-Aug-2003  18:56  5.2.3790.76    539,648  Wrpcrt4.dll  x86       RTMGDR
23-Aug-2003  18:48  5.2.3790.80  3,551,232  Ole32.dll    IA64      RTMQFE
23-Aug-2003  18:48  5.2.3790.76  2,128,384  Rpcrt4.dll   IA64      RTMGDR
23-Aug-2003  18:48  5.2.3790.80    666,624  Rpcss.dll    IA64      RTMGDR
23-Aug-2003  18:48  5.2.3790.80  1,183,744  Wole32.dll   x86       RTMGDR
23-Aug-2003  18:48  5.2.3790.76    539,648  Wrpcrt4.dll  x86       RTMGDR
注意:当您在基于 Windows Server 2003 或 Windows XP 64-Bit Edition 版本 2003 的计算机上安装此安全修补程序时,安装程序将检查计算机上要更新的文件中是否有以前被 Microsoft 修补程序更新过的文件。如果以前安装过修补程序来更新其中的某个文件,则安装程序将 RTMQFE 文件复制到计算机上。否则,安装程序将 RTMGDR 文件复制到计算机上。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824994 Windows XP Service Pack 2 和 Windows Server 2003 软件更新程序包内容说明
也可以通过查看下面的注册表项,来检查此安全修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
注意:当管理员或 OEM 将 824146 安全修补程序集成或组合到 Windows 安装源文件中时,可能没有正确创建此注册表项。

Windows XP(所有版本)

要解决此问题,请获取最新的 Windows XP Service Pack。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811113 Windows XP Service Pack 2 中包含的修补程序的列表

下载信息

可以从 Microsoft 下载中心下载以下文件:

Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
Windows XP 64-Bit Edition 版本 2002
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
Windows XP 64-Bit Edition 版本 2003
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
注意:对于 Windows XP 64-Bit Edition 版本 2003,此安全修补程序与用于 64 位版本 Windows Server 2003 的安全修补程序相同。 发布日期:2003 年 9 月 10 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

此安全修补程序需要 Windows XP 或 Windows XP Service Pack 1 (SP1) 的发行版本。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389 如何获取最新的 Windows XP Service Pack
安装信息
此安全修补程序支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不经提示即覆盖 OEM 文件。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
要检查计算机上是否安装了该安全修补程序,请使用 KB 824146 扫描工具 (KB824146scan.exe) 或使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 有关 KB824146scan.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
有关 MBSA 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) 版本 1.2.1 已推出
注意:如果在运行 Windows XP 64-Bit Edition 版本 2003 的计算机上使用此安全修补程序文件的 RTMQFE 版本,MBSA 版本 1.1.1 将错误地报告未安装 824146。

也可以通过确认以下注册表项是否存在,来验证计算机上是否安装了此安全修补程序:

Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
带有 Service Pack 1 (SP1) 的 Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146
Windows XP 64-Bit Edition 版本 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

部署信息

要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令行:
Windowsxp-kb824146-x86-CHS /u /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用以下命令行:
Windowsxp-kb824146-x86-CHS /z
注意:可以在一个命令行中组合使用这些开关。

有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

重新启动要求

应用此安全修补程序后,必须重新启动计算机。

删除信息

要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB824146$\Spuninst 文件夹中,它支持下面的安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。

安全修补程序替换信息

此安全修补程序替代 MS03-026 (823980)。 有关 MS03-026 (823980) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823980 MS03-026:RPC 中的缓冲区溢出可能允许代码执行

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition:
日期           时间    版本             大小        文件名
-------------------------------------------------------------------
25-Aug-2003  22:29  5.1.2600.118   1,093,632  Ole32.dll  (pre-SP1)
25-Aug-2003  22:29  5.1.2600.109     439,296  Rpcrt4.dll (pre-SP1)
25-Aug-2003  22:29  5.1.2600.118     204,288  Rpcss.dll  (pre-SP1)
25-Aug-2003  18:53  5.1.2600.1263  1,172,992  Ole32.dll  (with SP1)
25-Aug-2003  18:53  5.1.2600.1254    532,480  Rpcrt4.dll (with SP1)
25-Aug-2003  18:53  5.1.2600.1263    260,608  Rpcss.dll  (with SP1)
Windows XP 64-Bit Edition 版本 2002:
日期           时间    版本             大小        文件名         平台
--------------------------------------------------------------------------
25-Aug-2003  19:30  5.1.2600.118   4,195,840  Ole32.dll    IA64 (pre-SP1)
25-Aug-2003  19:30  5.1.2600.109   2,025,472  Rpcrt4.dll   IA64 (pre-SP1)
25-Aug-2003  19:30  5.1.2600.118     741,888  Rpcss.dll    IA64 (pre-SP1)
20-Aug-2003  18:16  5.1.2600.118   1,093,632  Wole32.dll   x86  (pre-SP1)
02-Jan-2003  23:06  5.1.2600.109     440,320  Wrpcrt4.dll  x86  (pre-SP1)
27-Aug-2003  18:12  5.1.2600.1263  4,296,192  Ole32.dll    IA64 (with SP1)
27-Aug-2003  18:12  5.1.2600.1254  2,298,880  Rpcrt4.dll   IA64 (with SP1)
27-Aug-2003  18:12  5.1.2600.1263    742,400  Rpcss.dll    IA64 (with SP1)
27-Aug-2003  17:27  5.1.2600.1263  1,172,992  Wole32.dll   x86  (with SP1)
02-Aug-2003  22:14  5.1.2600.1254    506,880  Wrpcrt4.dll  x86  (with SP1)
Windows XP 64-Bit Edition 版本 2003:
日期           时间    版本           大小        文件名         平台        文件夹
-------------------------------------------------------------------------
23-Aug-2003  18:56  5.2.3790.80  3,551,744  Ole32.dll    IA64      RTMGDR
23-Aug-2003  18:56  5.2.3790.76  2,127,872  Rpcrt4.dll   IA64      RTMGDR
23-Aug-2003  18:56  5.2.3790.80    665,600  Rpcss.dll    IA64      RTMGDR
23-Aug-2003  18:56  5.2.3790.80  1,183,744  Wole32.dll   x86       RTMGDR
23-Aug-2003  18:56  5.2.3790.76    539,648  Wrpcrt4.dll  x86       RTMGDR
23-Aug-2003  18:48  5.2.3790.80  3,551,232  Ole32.dll    IA64      RTMQFE
23-Aug-2003  18:48  5.2.3790.76  2,128,384  Rpcrt4.dll   IA64      RTMGDR
23-Aug-2003  18:48  5.2.3790.80    666,624  Rpcss.dll    IA64      RTMGDR
23-Aug-2003  18:48  5.2.3790.80  1,183,744  Wole32.dll   x86       RTMGDR
23-Aug-2003  18:48  5.2.3790.76    539,648  Wrpcrt4.dll  x86       RTMGDR
注意事项
  • 当您安装 Windows XP 64-Bit Edition 版本 2003 安全修补程序时,安装程序将检查计算机上要更新的文件中是否有以前被 Microsoft 修补程序更新过的文件。如果以前安装过修补程序来更新其中的某个文件,则安装程序将 RTMQFE 文件复制到计算机上。否则,安装程序将 RTMGDR 文件复制到计算机上。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    824994 Windows XP Service Pack 2 和 Windows Server 2003 软件更新程序包内容说明
  • 此安全修补程序的 Windows XP 版和 Windows XP 64-Bit Edition 版本 2002 版被打包为双模式程序包。双模式程序包同时包含 Windows XP 原始版本和 Windows XP Service Pack 1 (SP1) 的文件。 有关双模式程序包的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    328848 Windows XP 双模式更新程序包说明
也可以通过查看下面的注册表项,来检查此安全修补程序安装的文件:

对于 Windows XP Home Edition SP1、Windows XP Professional SP1、Windows XP 64-Bit Edition 版本 2002 SP1、Windows XP Tablet PC Edition、Windows XP Media Center Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146\Filelist
对于 Windows XP Home Edition、Windows XP Professional、Windows XP 64-Bit Edition 版本 2002:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146\Filelist
对于 Windows XP 64-Bit Edition 版本 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
注意:当管理员或 OEM 将 824146 安全修补程序集成或组合到 Windows 安装源文件中时,可能没有正确创建此注册表项。
要解决此问题,请获取 Windows 2000 SP4 的更新汇总 1。有关具体操作方法的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
891861 Windows 2000 SP4 更新汇总 1 和已知问题

Windows 2000

下载信息

可以从 Microsoft 下载中心下载以下文件:

收起这个图片展开这个图片
下载
立即下载 824146 程序包。
发布日期:2003 年 9 月 10 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

对于 Windows 2000 Datacenter Server,此安全修补程序需要 Service Pack 3 (SP3)。对于 Windows 2000 的其他版本,此安全修补程序需要 Service Pack 2 (SP2)、Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。

注意:正如以前介绍的一样,Windows 2000 Service Pack 2 的生命周期已经结束,Microsoft 通常情况下不再提供此产品的常用安全修补程序。但是,由于此漏洞所具有的特性,Windows 2000 Service Pack 2 的生命周期刚刚结束,以及许多用户目前仍在运行 Windows 2000 Service Pack 2,所以 Microsoft 决定对此漏洞破例一次。

Microsoft 不能预见是否对将来出现的漏洞采取此措施,但保留在必要时生成并提供安全修补程序的权利。Microsoft 敦促现在使用基于 Windows 2000 Service Pack 2 计算机的用户将这些计算机迁移到受支持的 Windows 版本,以免由于将来出现的漏洞而受到攻击。有关 Windows 桌面产品生命周期的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windows/lifecycle/default.mspx
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack

安装信息

此安全修补程序支持下列安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /n:不备份要删除的文件。
  • /o:不经提示即覆盖 OEM 文件。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
要检查计算机上是否安装了该安全修补程序,请使用 KB 824146 扫描工具 (KB824146scan.exe) 或使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 有关 KB824146scan.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
有关 MBSA 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) 版本 1.2.1 已推出
也可以通过确认以下注册表项是否存在,来验证计算机上是否安装了此安全修补程序:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146

部署信息

要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令行:
Windows2000-kb824146-x86-CHS /u /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用以下命令行:
Windows2000-kb824146-x86-CHS /z
注意:可以在一个命令行中组合使用这些开关。

有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

重新启动要求

应用此安全修补程序后,必须重新启动计算机。

删除信息

要删除此安全修补程序,请使用“控制面板”中的“添加/删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全修补程序。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB824146$\Spuninst 文件夹中,它支持下面的安装开关:
  • /?:显示安装开关列表。
  • /u:使用无人参与模式。
  • /f:当计算机关闭时强制其他程序退出。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式(无用户交互)。

安全修补程序替换信息

此安全修补程序替代 MS03-026 (823980)。 有关 MS03-026 (823980) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823980 MS03-026:RPC 中的缓冲区溢出可能允许代码执行

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。
日期           时间    版本             大小      文件名
------------------------------------------------------
23-Aug-2003  18:48  5.0.2195.6810  945,936  Ole32.dll
23-Aug-2003  18:48  5.0.2195.6802  432,912  Rpcrt4.dll
23-Aug-2003  18:48  5.0.2195.6810  192,272  Rpcss.dll 
也可以通过查看下面的注册表项,来检查此安全修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146\Filelist
注意:当管理员或 OEM 将 824146 安全修补程序集成或组合到 Windows 安装源文件中时,可能没有正确创建此注册表项。

Windows NT 4.0(所有版本)

下载信息

可以从 Microsoft 下载中心下载以下文件:

Windows NT Workstation 4.0
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
Windows NT Server 4.0
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
Windows NT Server 4.0 终端服务器版
收起这个图片展开这个图片
下载
立即下载 824146 程序包。
发布日期:2003 年 9 月 10 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

此安全修补程序需要 Windows NT Server 4.0 Service Pack 6a (SP6a)、Windows NT Workstation 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0 终端服务器版 Service Pack 6 (SP6)。

注意:正如以前所介绍的一样,Windows NT Workstation 4.0 的生命周期已经结束,Microsoft 通常情况下不再提供此产品的常用安全修补程序。但是,由于此漏洞所具有的特性,Windows NT Workstation 4.0 的生命周期刚刚结束,以及许多用户目前仍在运行 Windows NT Workstation 4.0,所以 Microsoft 决定对此漏洞破例一次。

Microsoft 不能预见是否对将来出现的漏洞采取此措施,但保留在必要时生成并提供安全修补程序的权利。Microsoft 敦促现在使用基于 Windows NT Workstation 4.0 的计算机的用户将这些计算机迁移到受支持的 Windows 版本,以免由于将来出现的漏洞而受到攻击。有关 Windows 桌面产品生命周期的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windows/lifecycle/default.mspx
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
152734 如何获取最新的 Windows NT 4.0 Service Pack

安装信息

此安全修补程序支持下列安装开关:
  • /y:执行删除(仅与 /m/q 一起使用)。
  • /f:在关机过程中强制程序退出。
  • /n:不创建卸载文件夹。
  • /z:完成更新时不重新启动。
  • /q:使用安静模式或不带用户界面的无人参与模式(此开关是 /m 的超集)。
  • /m:使用带用户界面的无人参与模式。
  • /l:列出已安装的修补程序。
  • /x:提取文件但不运行安装程序。
要检查计算机上是否安装了该安全修补程序,请使用 KB 824146 扫描工具 (KB824146scan.exe) 或使用 Microsoft Baseline Security Analyzer (MBSA) 工具。 有关 KB824146scan.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
827363 如何使用 KB 824146 扫描工具来确定未安装 823980 (MS03-026) 和 824146 (MS03-039) 安全修补程序的主机
有关 MBSA 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
320454 Microsoft Baseline Security Analyzer (MBSA) 版本 1.2.1 已推出
也可以通过确认以下注册表项是否存在,来验证计算机上是否安装了此安全修补程序:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146

部署信息

要在没有任何用户干预的情况下安装此安全修补程序,请使用下面的命令行:
Windowsnt4server-kb824146-x86-CHS /q
要在不强制计算机重新启动的情况下安装此安全修补程序,请使用以下命令行:
Windowsnt4server-kb824146-x86-CHS /z
注意:可以在一个命令行中组合使用这些开关。

有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserversystem/updateservices/evaluation/previous/susoverview.mspx

重新启动要求

应用此安全修补程序后,必须重新启动计算机。

删除信息

要删除此安全修补程序,请使用“控制面板”中的“添加/删除程序”工具。

系统管理员可以使用 Hotfix.exe 实用工具删除此安全修补程序。Hotfix.exe 实用工具位于 %Windir%\$NTUninstallKB824146$ 文件夹中。此实用工具支持下列安装开关:
  • /y:执行删除(仅与 /m/q 开关一起使用)。
  • /f:在关机过程中强制程序退出。
  • /n:不创建卸载文件夹。
  • /z:完成安装时不重新启动。
  • /q:使用安静模式或不带用户界面的无人参与模式(此开关是 /m 开关的超集)。
  • /m:使用带用户界面的无人参与模式。
  • /l:列出已安装的修补程序。

安全修补程序替换信息

此安全修补程序替代 MS03-026 (823980)。 有关 MS03-026 (823980) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823980 MS03-026:RPC 中的缓冲区溢出可能允许代码执行

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Windows NT Server 4.0:
日期           时间    版本             大小      文件名
------------------------------------------------------
11-Aug-2003  11:29  4.0.1381.7230  701,200  Ole32.dll 
11-Aug-2003  11:29  4.0.1381.7230  345,872  Rpcrt4.dll
11-Aug-2003  11:29  4.0.1381.7230  107,792  Rpcss.exe 
Windows NT Server 4.0 终端服务器版:
日期           时间    版本              大小      文件名
-------------------------------------------------------
11-Aug-2003  12:30  4.0.1381.33551  701,712  Ole32.dll 
11-Aug-2003  12:14  4.0.1381.33551  345,360  Rpcrt4.dll
11-Aug-2003  12:30  4.0.1381.33551  109,328  Rpcss.exe
Windows NT Workstation 4.0:
日期           时间    版本             大小      文件名
------------------------------------------------------
11-Aug-2003  11:29  4.0.1381.7230  701,200  Ole32.dll 
11-Aug-2003  11:29  4.0.1381.7230  345,872  Rpcrt4.dll
11-Aug-2003  11:29  4.0.1381.7230  107,792  Rpcss.exe
也可以通过查看下面的注册表项,来检查此安全修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146\File 1
注意:当管理员或 OEM 将 824146 安全修补程序集成或组合到 Windows 安装源文件中时,可能没有正确创建此注册表项。

替代方法

尽管 Microsoft 强烈建议所有用户尽早应用此安全修补程序,但还是提供了几个过渡性的替代方法,以帮助阻止利用此漏洞的一些攻击手段。Microsoft 不能保证这些替代方法能够阻止所有可能的攻击手段。

注意:这些替代方法是临时性的措施,原因在于它们只是帮助阻止攻击途径,而不是纠正根本性的漏洞。
  • 在防火墙中阻塞 UDP 端口 135、137、138 和 445 以及 TCP 端口 135、139、445 和 593。同时禁用了 COM Internet 服务 (CIS) 和 RPC over HTTP。CIS 和 RPC over HTTP 侦听受影响计算机上的端口 80 和 443。

    这些端口用于启动与远程计算机的 RPC 连接。通过在防火墙中阻塞这些端口,有助于防止防火墙后面的计算机受到那些企图利用上述漏洞进行的攻击。还应阻塞远程计算机上专门配置的任何其他 RPC 端口。

    如果启用了 CIS 和 RPC over HTTP,则允许通过 TCP 端口 80(以及 Windows XP 和 Windows Server 2003 上的端口 443)进行 DCOM 调用。请确保在所有受影响的计算机上禁用 CIS 和 RPC over HTTP。 有关如何禁用 CIS 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825819 如何删除 COM Internet 服务 (CIS) 和 RPC over HTTP 代理支持
    有关 RPC over HTTP 的其他信息,请访问下面的 Microsoft 网站:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • 使用 Windows 防火墙,并禁用 COM Internet 服务 (CIS) 和 RPC over HTTP。CIS 和 RPC over HTTP 侦听受影响计算机上的端口 80 和 443。

    如果在 Windows XP 或 Windows Server 2003 中使用 Windows 防火墙功能来帮助保护 Internet 连接,则默认情况下,Windows 防火墙禁止来自 Internet 的入站 RPC 通信。

    注意:在 Windows XP、Windows Server 2003 Standard Edition 和 Windows Server 2003 Enterprise Edition 上提供了 Windows 防火墙。“基本防火墙”是“路由和远程访问”的一个组件,在运行“路由和远程访问”以及 Windows Server 2003 系列操作系统之一的计算机上,可以为任何公共接口启用该组件。

    请确保在所有受影响的计算机上禁用 CIS 和 RPC over HTTP。 有关如何禁用 CIS 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825819 如何删除 COM Internet 服务 (CIS) 和 RPC over HTTP 代理支持
    有关 RPC over HTTP 的其他信息,请访问下面的 Microsoft 网站:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • 使用 Internet 协议安全 (IPSec) 筛选器阻塞受影响的端口,并禁用 COM Internet 服务 (CIS) 和 RPC over HTTP。CIS 和 RPC over HTTP 侦听受影响计算机上的端口 80 和 443。

    如果使用 IPSec,可有助于增强基于 Windows 2000 的计算机上网络通信的安全。 有关 IPSec 以及如何在 Windows 2000 中使用 IP 筛选器列表的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    313190 如何使用 Windows 2000 中的 IPSec IP 筛选器列表
    813878 如何使用 IPSec 阻止特定网络协议和端口
    请确保在所有受影响的计算机上禁用 CIS 和 RPC over HTTP。 有关如何禁用 CIS 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825819 如何删除 COM Internet 服务 (CIS) 和 RPC over HTTP 代理支持
    有关 RPC over HTTP 的其他信息,请访问下面的 Microsoft 网站:
    http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp
  • 在所有受影响的计算机上禁用 DCOM。如果计算机是网络的一部分,DCOM 有线协议允许该计算机上的 COM 对象与其他计算机上的 COM 对象通信。

    您可以对计算机禁用 DCOM,以帮助防范他人利用此漏洞发动的攻击,但如果这样做,该计算机上的对象无法与其他计算机上的对象进行通信。如果在远程计算机上禁用 DCOM,则无法远程访问该计算机以重新启用 DCOM。要重新启用 DCOM,您必须亲手操作该计算机。 有关如何禁用 DCOM 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    825750 如何在 Windows 中禁用 DCOM 支持
    注意:对于 Windows 2000 而言,Microsoft 知识库文章 825750 中所介绍的方法仅适用于运行 Service Pack 3 或更高版本的计算机。使用 Service Pack 2 或更低版本的计算机必须升级到更高版本的 Service Pack,或使用其他替代方法。

状态

Microsoft 已经确认此问题可能导致本文开头列出的 Microsoft 产品中存在某种程度的安全漏洞。 此问题最早在 Windows 2000 Service Pack 4 中得到了解决。

更多信息

有关此漏洞的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/Bulletins/MS03-039.asp
有关如何帮助确保客户端和服务器的 RPC 安全的详细信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/library/aa379441.aspx
有关 RPC 使用的端口的详细信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/cnet/cnfc_por_gdqc.mspx?mfr=true

属性

文章编号: 824146 - 最后修改: 2007年2月16日 - 修订: 11.5
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
  • Microsoft Windows NT Workstation 4.0 开发员版
关键字:?
kbhotfixserver kbwinxppresp2fix kbwinserv2003presp1fix kbwinnt400presp7fix kbwin2000presp5fix kbfix kbbug kbsecvulnerability kbsecbulletin kbsecurity kbqfe KB824146
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com