MS09-042: Luka w zabezpieczeniach protoko�u Telnet umo�liwia zdalne wykonywanie kodu

Numer ID artyku�u: 960859 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

WPROWADZENIE

Firma Microsoft wyda�a biuletyn zabezpiecze� MS09-042. Aby wy�wietli� pe�ny biuletyn zabezpiecze�, odwied� jedn� z nast�puj�cych witryn firmy Microsoft w sieci Web:

U�ytkownicy domowi:
http://www.microsoft.com/poland/protect/computer/updates/bulletins/200908.mspx
(http://www.microsoft.com/poland/protect/computer/updates/bulletins/200908.mspx)
Pomi� szczeg�y: Pobierz teraz aktualizacje dla komputera domowego lub przeno�nego z witryny Microsoft Update w sieci Web:
http://update.microsoft.com/microsoftupdate
(http://update.microsoft.com/microsoftupdate)
Informatycy:
http://www.microsoft.com/poland/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/poland/technet/security/bulletin/MS09-042.mspx)

Jak uzyska� pomoc i obs�ug� techniczn� zwi�zan� z t� aktualizacj� zabezpiecze�

U�ytkownicy domowi mog� uzyska� nieodp�atnie pomoc techniczn�, korzystaj�c z numeru telefonu 1-866-PCSAFETY w Stanach Zjednoczonych i Kanadzie lub kontaktuj�c si� z lokalnym oddzia�em firmy Microsoft. Aby uzyska� wi�cej informacji dotycz�cych sposobu kontaktowania si� z lokalnym oddzia�em firmy Microsoft w sprawie pomocy technicznej dotycz�cej problem�w z aktualizacjami zabezpiecze�, odwied� witryn� mi�dzynarodowej pomocy technicznej firmy Microsoft w sieci Web:

http://support.microsoft.com/common/international.aspx?rdpath=4

(http://support.microsoft.com/common/international.aspx?rdpath=4)

Klienci w Ameryce P�nocnej mog� r�wnie� uzyska� natychmiastowy dost�p do nieograniczonej nieodp�atnej pomocy �wiadczonej przy u�yciu poczty e-mail lub w trybie rozmowy (czatu), odwiedzaj�c nast�puj�c� witryn� firmy Microsoft w sieci Web:

http://support.microsoft.com/oas/default.aspx?&prid=7552

(http://support.microsoft.com/oas/default.aspx?&prid=7552)

Przedsi�biorstwa mog� uzyska� pomoc techniczn� dotycz�c� aktualizacji zabezpiecze� za pomoc� danych kontaktowych pomocy technicznej, z kt�rych zwykle korzystaj�.

Powr�t na g�r� | Przeka� opini�

Wi�cej informacji

Dodatkowe informacje o tej aktualizacji zabezpiecze�

Czego dotyczy ten biuletyn zabezpiecze�?
Ta aktualizacja zabezpiecze� dotyczy ochrony przed powielaniem w protokole Telnet. Wi�cej informacji o ochronie przed powielaniem mo�na znale�� w nast�puj�cym biuletynie zabezpiecze�:
http://www.microsoft.com/poland/technet/security/bulletin/MS09-042.mspx
(http://www.microsoft.com/poland/technet/security/bulletin/MS09-042.mspx)
Co to jest ochrona rozszerzona?
Ta aktualizacja zabezpiecze� zawiera poprawk� dotycz�c� kompleksowej ochrony, kt�ra umo�liwia stosowanie ochrony rozszerzonej po stronie klienta i serwera Telnet. Domy�lnie ta funkcja jest wy��czona. W celu dok�adnego zapoznania si� ze skutkami tych zmian nale�y uwa�nie przejrze� informacje o tej aktualizacji zabezpiecze� oraz nast�puj�cy dokument Security Advisory, zawieraj�cy bardziej szczeg�owy opis ochrony rozszerzonej:
973811
(http://support.microsoft.com/kb/973811/ )
Microsoft Security Advisory: Ochrona rozszerzona na potrzeby uwierzytelniania (j. ang.)
Jak w��czy� ochron� rozszerzon� na komputerze?
Przed w��czeniem ochrony rozszerzonej nale�y si� upewni�, �e zar�wno na komputerze klienckim, jak i na serwerze jest zainstalowana nast�puj�ca aktualizacja zabezpiecze�:
968389
(http://support.microsoft.com/kb/968389/ )
Ochrona rozszerzona na potrzeby uwierzytelniania
Aby mo�na by�o w��czy� ochron� rozszerzon� dla protoko�u Telnet, zar�wno na komputerze klienckim, jak i na serwerze musz� by� zainstalowane aktualizacja opisana w dokumencie Security Advisory 968389 i aktualizacja opisana w tym artykule.

Uwaga Ustawienie s�u��ce do w��czenia ochrony rozszerzonej po stronie klienta dzia�a na poziomie ca�ego systemu. W��czenie go powoduje w��czenie ochrony rozszerzonej dla wszystkich sk�adnik�w na komputerze klienckim.

Na serwerze ochron� rozszerzon� nale�y w��czy� dla ka�dego sk�adnika osobno. W celu unikni�cia niepowodze� uwierzytelniania przed w��czeniem ochrony rozszerzonej na serwerze nale�y si� upewni�, �e wszystkie sk�adniki klienckie zwi�zane z tym serwerem s� zaktualizowane pod k�tem ochrony rozszerzonej. Po zainstalowaniu obu aktualizacji zabezpiecze� nale�y w��czy� ochron� rozszerzon� na komputerze klienckim i na serwerze.

W��czenie ochrony rozszerzonej na komputerze wymaga wprowadzenia nast�puj�cych zmian.

Wa�ne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotycz�ce modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru mo�e jednak by� przyczyn� powa�nych problem�w. Dlatego nale�y uwa�nie wykonywa� podane czynno�ci. Aby zapewni� dodatkow� ochron�, przed zmodyfikowaniem rejestru nale�y wykona� jego kopi� zapasow�. Dzi�ki temu b�dzie mo�na przywr�ci� rejestr w przypadku wyst�pienia problemu. Aby uzyska� wi�cej informacji dotycz�cych wykonywania kopii zapasowej i przywracania rejestru, kliknij nast�puj�cy numer artyku�u w celu wy�wietlenia tego artyku�u z bazy wiedzy Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Jak wykonywa� kopi� zapasow� rejestru, edytowa� go i przywraca� w systemach Windows XP i Windows Server 2003
- Je�li komputer jest klientem Telnet:
  1. Sprawd�, czy w nast�puj�cym podkluczu rejestru znajduj� si� warto�ci rejestru SuppressExtendedProtection i LmCompatibilityLevel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
  2. Je�li brakuje tych warto�ci rejestru, uruchom Edytor rejestru, a nast�pnie wykonaj nast�puj�ce czynno�ci:
    1. Zlokalizuj i kliknij nast�puj�cy klucz rejestru:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
    2. W menu Edycja kliknij polecenie Nowy, a nast�pnie kliknij polecenie Warto�� DWORD.
    3. Wpisz nazw� SuppressExtendedProtection, a nast�pnie naci�nij klawisz ENTER.
    4. W menu Edycja kliknij polecenie Modyfikuj.
    5. Wpisz warto�� 0, a nast�pnie kliknij przycisk OK.
    6. W menu Edycja kliknij polecenie Nowy, a nast�pnie kliknij polecenie Warto�� DWORD.
    7. Wpisz nazw� LmCompatibilityLevel, a nast�pnie naci�nij klawisz ENTER.
    8. W menu Edycja kliknij polecenie Modyfikuj.
      
      Uwaga Wykonanie tej czynno�ci powoduje zmian� wymaga� uwierzytelniania za pomoc� protoko�u NTLM. Nale�y zapozna� si� z tym dzia�aniem. Mo�na to zrobi�, korzystaj�c z nast�puj�cego artyku�u z bazy wiedzy Microsoft Knowledge Base.
      239869
      (http://support.microsoft.com/kb/239869/ )
      Jak w��czy� obs�ug� uwierzytelniania NTLM 2
    9. Wpisz warto�� 3, a nast�pnie kliknij przycisk OK.
    10. Zamknij Edytor rejestru.
- Na serwerze Telnet:
  Przed wprowadzeniem poni�szych zmian nale�y zapozna� si� z nast�puj�cym artyku�em z witryny MSDN, zawieraj�cym informacje potrzebne przed ustawianiem tryb�w o ograniczonej funkcjonalno�ci:
  http://msdn.microsoft.com/pl-pl/library/dd767318.aspx
  (http://msdn.microsoft.com/pl-pl/library/dd767318.aspx)
  1. Sprawd�, czy w nast�puj�cym podkluczu rejestru znajduje si� warto�� rejestru ExtendedProtection:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
  2. Je�li brakuje tej warto�ci rejestru, uruchom Edytor rejestru, a nast�pnie wykonaj nast�puj�ce czynno�ci:
    1. Zlokalizuj i kliknij nast�puj�cy klucz rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. W menu Edycja kliknij polecenie Nowy, a nast�pnie kliknij polecenie Warto�� DWORD.
    3. Wpisz nazw� ExtendedProtection i naci�nij klawisz ENTER.
    4. W menu Edycja kliknij polecenie Modyfikuj.
    5. Ustaw warto�� rejestru, u�ywaj�c jednej z nast�puj�cych warto�ci zgodnie z bie��cymi wymaganiami dotycz�cymi us�ugi Telnet, a nast�pnie kliknij przycisk OK:
      - Jak w starszej wersji: Zezwalanie na wszystkie rodzaje klient�w. Dla ustawienia ExtendedProtection okre�l warto�� 0.
      - Dzia�anie cz�ciowe: (Dzia�anie jak w starszej wersji + ochrona rozszerzona). Zezwalanie na klient�w niewysy�aj�cych g��wnej nazwy us�ugi (SPN) lub zezwalanie na klient�w wysy�aj�cych poprawn� nazw� SPN. Dla ustawienia ExtendedProtection okre�l warto�� 1.
      - Pe�ne ograniczenie funkcjonalno�ci: (Tylko ochrona rozszerzona). Zezwalanie na klient�w wysy�aj�cych tylko poprawn� nazw� SPN. Dla ustawienia ExtendedProtection okre�l warto�� 2.
    6. Zamknij Edytor rejestru.
Podczas instalowania tego pakietu
Poni�szy klucz i warto�� rejestru s� tworzone tylko na serwerach z systemem Windows Server�2003 lub na komputerach z systemem Windows�XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection
Warto�� domy�lna klucza ExtendedProtection to 0. W systemie Windows Vista nale�y r�cznie utworzy� ten klucz i poda� odpowiedni� warto�� zgodnie z wybranym trybem ograniczania funkcjonalno�ci. W celu dodania tej warto�ci rejestru nale�y wykona� czynno�ci opisane we wcze�niejszej cz�ci tego artyku�u w sekcji: Jak w��czy� ochron� rozszerzon� na komputerze?
Domy�lne dozwolone nazwy SPN na serwerze Telnet:
- Domy�lnie serwer Telnet zezwala na nast�puj�ce nazwy i adresy IP:
  - �localhost�� w postaci ci�gu w j�zyku angielskim.
  - Dowolny adres IP (IPv4 lub IPv6) u�ywanego serwera lub komputera.
  - 127.0.0.1 & ::1
  - Nazwa hosta (hostname) w formacie systemu NetBIOS.
  - Nazwa hosta (hostname) w formacie FQDN.
- Je�li administrator podejmie decyzj� o zezwalaniu na inne nazwy SPN, mo�na doda� wi�cej nazw w nast�puj�cy spos�b. Nazwa nie zostanie przekonwertowana z formatu NetBIOS na format FQDN ani z formatu FQDN na format NetBIOS:
  - Je�li brakuje warto�ci rejestru AllowedSPN, uruchom Edytor rejestru, a nast�pnie wykonaj nast�puj�ce czynno�ci:
    1. Zlokalizuj i kliknij nast�puj�cy klucz rejestru:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\
    2. W menu Edycja wska� polecenie Nowy, a nast�pnie kliknij polecenie Warto�� wieloci�gu.
    3. Wpisz nazw� AllowedSPN, a nast�pnie naci�nij klawisz ENTER.
    4. W menu Edycja kliknij polecenie Modyfikuj.
    5. Dodaj aliasy, kt�re maj� by� dozwolone jako nazwy SPN. Poni�szy wpis jest prawid�ow� nazw� SPN dla protoko�u Telnet:
      telnet/nazwa_komputera
    6. Kliknij przycisk OK, a nast�pnie zamknij Edytor rejestru.

Znane problemy dotycz�ce tej aktualizacji zabezpiecze�

Na komputerach z systemem Windows XP lub na serwerach z systemem Windows Server�2003 mo�e wyst�pi� nast�puj�cy b��d hosta lokalnego (localhost) dotycz�cy adres�w IPv6 i alias�w komputer�w:

Klienci us�ugi Microsoft Telnet nie nawi�zuj� po��cze� z lokalnymi adresami IPv6 ani z �adnymi aliasami hosta lokalnego z wyj�tkiem nazw �localhost� i �hostname�.

Aby rozwi�za� ten problem, wykonaj odpowiednie czynno�ci:
- W przypadku b��du dotycz�cego adres�w IPv6 wykonaj czynno�ci opisane w sekcji �Znane problemy dotycz�ce tej aktualizacji zabezpiecze� nast�puj�cego artyku�u z bazy wiedzy Knowledge Base:
  960803
  (http://support.microsoft.com/kb/960803/ )
  MS09-013: Luki w zabezpieczeniach us�ug HTTP systemu Windows umo�liwiaj� zdalne wykonywanie kodu
- W przypadku b��du dotycz�cego aliasu hosta lokalnego zastosuj metod�1 z sekcji �Obej�cie problemu� nast�puj�cego artyku�u z bazy wiedzy Knowledge Base:
  896861
  (http://support.microsoft.com/kb/896861/ )
  Podczas przegl�dania witryny sieci Web u�ywaj�cej uwierzytelniania zintegrowanego, kt�ra jest uruchomiona w �rodowisku Internetowych us�ug informacyjnych w wersji 5.1 lub 6.0, pojawia si� komunikat o b��dzie 401.1
Pr�ba utworzenia sesji Telnet z dowolnym adresem IP z zakresu �127.*.*.*� ko�czy si� niepowodzeniem sesji Telnet, z wyj�tkiem przypadku u�ycia adresu IP 127.0.0.1.

Ten problem wyst�puje w systemach Windows�2000, Windows�XP i Windows Server�2003.
Domy�lnie ochrona przed powielaniem nie jest dost�pna w systemie Windows�2000.
Ochrona przed przekazywaniem (rozszerzona) jest dost�pna tylko w nast�puj�cych systemach operacyjnych:
- Windows Vista, wszystkie wersje
- Windows Server�2003 z dodatkiem Service Pack 2 QFE i Windows Server 2003 z dodatkiem Service Pack 2 GDR
- Windows XP z dodatkiem Service Pack 2 QFE, Windows XP z dodatkiem Service Pack 2 GDR, Windows XP z dodatkiem Service Pack 3 QFE oraz Windows XP z dodatkiem Service Pack 3 GDR
W us�udze Telnet nie mo�na u�y� nazwy klastra ani nazwy FQDN. Konieczne jest dodanie nazwy klastra i nazwy FQDN do warto�ci rejestru AllowedSPN. Odpowiednie informacje mo�na znale�� w sekcji �Podczas instalowania tego pakietu�.
Nie mo�na nawi�za� po��czenia Telnet z serwerem, u�ywaj�c aliasu. Konieczne jest dodanie aliasu do warto�ci rejestru AllowedSPN. Odpowiednie informacje mo�na znale�� w sekcji �Podczas instalowania tego pakietu�.
Ta aktualizacja nie jest oferowana klientom z systemem Windows�2000, w kt�rym zainstalowano Us�ugi dla systemu Unix.

Powr�t na g�r� | Przeka� opini�

INFORMACJE O PLIKACH

Wersja angielskoj�zyczna (Stany Zjednoczone) tej aktualizacji oprogramowania instaluje pliki, kt�rych atrybuty wymieniono w poni�szych tabelach. Daty i godziny odpowiadaj�ce tym plikom zosta�y podane w formacie uniwersalnego czasu koordynowanego (UTC). Daty i godziny odpowiadaj�ce tym plikom s� wy�wietlane na komputerze lokalnym w formacie czasu lokalnego z uwzgl�dnieniem bie��cego ustawienia czasu letniego. Warto�ci daty i godziny mog� ulec zmianie w wyniku wykonania pewnych operacji na plikach.