MS03-026: Vyrovnávací paměti přetečení v rozhraní protokolu RPC umožňuje spuštění kódu

Technická aktualizace

  • 10. září 2003: V tomto článku byly provedeny následující změny:
    • Aktualizována sekce "Informace o nahrazení opravy zabezpečení" k označení, že tato oprava byla nahrazena opravou 824146 (MS03-039).
      Další informace o opravě zabezpečení 824146 (MS03-039) získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

      824146 MS03-039: přetečení vyrovnávací paměti ve službě RPCSS umožňuje útočníkovi spustit nebezpečné programy

    • Aktualizována sekce "Informace o instalaci" označíte, že společnost Microsoft vydala nástroj, který správcům sítí umožňuje vyhledat v síti a k určení hostitelských počítačů, které nemají 823980 (MS03-026) a instalaci opravy zabezpečení 824146 (MS03-039).
      Další informace o tomto nástroji získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
      827363 skenovacího nástroje KB 824146 k určení hostitelských počítačů, které nemají 823980 (MS03-026) a 824146 (MS03-039) nainstalovány opravy zabezpečení

    • Aktualizována sekce "Informace o nahrazení opravy zabezpečení" pro systém Windows NT 4.0 k označení, že tato oprava zabezpečení nahrazuje opravu 305399 (MS01-048) pro počítače se systémem Windows NT 4.0.
  • 19. srpna 2003: Byla aktualizována část "Další informace" o odkaz na článek znalostní báze Microsoft Knowledge Base 826234. Tento článek obsahuje informace o viru worm Nachi, který zneužívá tuto chybu zabezpečení, která je vyřešena opravou zabezpečení.
    826234 Výstraha týkající se viru Worm Nachi

  • 14. srpna 2003: V tomto článku byly provedeny následující změny:
    • Části "Další informace" odkaz v článku 826955 znalostní báze Microsoft Knowledge Base aktualizován. Tento článek obsahuje informace o viru worm Blaster, který zneužívá tuto chybu zabezpečení, která je vyřešena opravou zabezpečení.
      826955 Výstraha týkající se viru Worm Blaster a jeho variant

    • Byla aktualizována část "Informace o instalaci" označíte, že společnost Microsoft vydala nástroj, který správcům sítí umožňuje vyhledat v síti systémy, ve kterých není tato oprava zabezpečení nainstalována.
    • Aktualizována sekce "Informace o nahrazení opravy zabezpečení" označíte, že nahrazuje tato oprava zabezpečení opravu 331953 (MS03-010) pro počítače se systémem Windows 2000 a Windows XP. Pro počítače se systémem Windows NT 4.0 a počítačů se systémem Windows Server 2003 nenahrazuje tato oprava zabezpečení žádné jiné opravy zabezpečení.
    • Byla aktualizována část systému Windows 2000 "předpoklady" Chcete-li zahrnout informace o podpoře systému Windows 2000 Service Pack 2 této opravy.
    • Byla aktualizována část "Řešení" informace další řešení.
  • 18. července 2003: Aktualizace v části "Příznaky" a části "Zklidňující fakta". Byla přidána poznámka do oddílu systému Windows 2000 "předpoklady". Byla přidána poznámka k části "Požadavky" Windows NT 4.0. V části "Windows NT 4.0" byl změněn klíč registru "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980" na "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980". V části "Řešení" byl změněn text u první odrážky (blokování portu 135 branou firewall"). V následujících částech změněné tabulky informace o souboru: Windows Server 2003, 32bitová verze; Windows Server 2003 64-Bit Edition; Windows XP Professional a Windows XP Home Edition; Windows XP 64-Bit Edition.
  • 18. srpna 2003: Byla aktualizována část "Předpoklady".

Příznaky

Společnost Microsoft původně vydala tento bulletin a opravu 16. července, 2003, opravit chybu zabezpečení v rozhraní Windows objektů modelu DCOM (Distributed Component) vzdálené volání procedur (RPC). Tato oprava umožňovala a stále umožňuje chybu zabezpečení odstranit. "Zklidňující fakta" a "řešení" diskuse v původním bulletinu zabezpečení však jasně nedefinovaly všechny porty, přes které může potenciálně zneužít tuto chybu zabezpečení. Společnost Microsoft aktualizovala tento bulletin a výčet portů, přes které RPC lze vyvolat služby musí být informace, že musí mít k ochraně jejich systémů zákazníků, kteří se rozhodli implementovat alternativní řešení před instalací opravy. Zákazníci, kteří již opravu nainstalovali, jsou chráněny před pokusy o zneužití této chyby zabezpečení a není třeba provádět další akce.

Vzdálené volání procedur (RPC) je protokol používaný operačním systémem Windows. Protokol RPC poskytuje mechanismus pro komunikaci mezi procesy umožňující programu, který je spuštěn v místním počítači, aby bez problémů spustil kód ve vzdáleném počítači. Protokol je odvozen od protokolu RPC Open Software Foundation (OSF). Protokol RPC používaný v systému Windows zahrnuje některá další rozšíření specifická pro společnost Microsoft.

Existuje chyba zabezpečení v části protokolu RPC pro výměnu zpráv přes protokol TCP/IP. Chyba je způsobena nesprávným zpracováním poškozených zpráv. Tato konkrétní chyba zabezpečení má vliv na rozhraní objektů modelu DCOM (Distributed Component) s protokolem RPC naslouchajícím na porty pro vzdálené volání procedur. Toto rozhraní zpracovává požadavky na aktivaci objektů DCOM odeslané klientskými počítači (například cesta požadavky Universal Naming Convention []) na server. Útočník, který úspěšně zneužije tuto chybu zabezpečení by mohl v postiženém systému spustit kód s oprávněními místního systému. Útočník by byl schopen provádět libovolné akce v systému, včetně instalace programů, zobrazení dat, změny dat, odstranění dat nebo vytvoření nových účtů s úplnými oprávněními.

Tuto chybu zabezpečení zneužít, musel by vzdálenému počítači přes konkrétní porty protokolu RPC odeslat speciálně vytvořený požadavek.

Zklidňující fakta
  • Tuto chybu zabezpečení zneužít, musí být útočník schopen odeslat speciálně vytvořený požadavek na port 135, port 139, port 445 nebo všechny další speciálně nakonfigurované porty RPC ve vzdáleném počítači. V prostředí intranetu jsou tyto porty obvykle přístupné, ale u počítačů připojených k Internetu, jsou tyto porty obvykle blokován bránou firewall. Pokud nejsou tyto porty blokovány, nebo v prostředí sítě intranet, nemusí útočník mít žádná zvláštní oprávnění.
  • Doporučené postupy patří zablokování všech portů protokolu TCP/IP, které nejsou skutečně používány. Ve výchozím nastavení většina bran firewall, včetně Windows Internet Connection Firewall (ICF), tyto porty blokuje. Z tohoto důvodu většina počítačů připojených k Internetu má protokol RPC nad protokolem TCP nebo UDP blokován. Protokol RPC nad protokolem UDP nebo TCP není určen pro použití v nepřátelských prostředích, jako je Internet. K tomuto účelu jsou určeny odolnější protokoly, například protokol RPC over HTTP.

Řešení

Informace o opravě zabezpečení

Další informace o řešení uvedené chyby získáte klepnutím na příslušný odkaz v následujícím seznamu:

Windows Server 2003 (všechny verze)

Stáhnout informace
Následující soubory jsou k dispozici pro stažení z webu Microsoft Download Center:


Windows Server 2003 32-Bit EditionWindows Server 2003 64-Bit Edition a Windows XP 64-Bit Edition verze 2003Datum vydání: 16. července 2003

Další informace o stažení Microsoft Support soubory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
119591 jak získat soubory podpory společnosti Microsoft ze serverů služeb Online
Microsoft zkontroloval tento soubor na přítomnost virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici k datu, kdy byl soubor vydán. Soubor je uložen na zabezpečených serverech, které pomáhají zabránit neoprávněné změny souboru.
Předpoklady
Tato oprava zabezpečení vyžaduje vydanou verzi systému Windows Server 2003.
Informace o instalaci
Tato oprava zabezpečení podporuje následující instalační přepínače:
  • /? : Zobrazí seznam instalačních přepínačů.
  • /u : Použije bezobslužný režim.
  • / f : Vynutí jiných ukončení programů při vypnutí počítače.
  • / n : Nevytvoří zálohu souborů pro účely odinstalace.
  • /o : Přepíše soubory OEM bez výzvy k potvrzení.
  • /z : Nerestartuje počítač po dokončení instalace.
  • / q : Použije tichý režim (bez zásahu uživatele).
  • / l : seznam nainstalovaných oprav hotfix.
  • /x : Extrahuje soubory bez spuštění instalace.
Společnost Microsoft vydala nástroj, který mohou správci sítě rozpoznat v síti systémy, které nemají tato oprava zabezpečení nainstalována.
Další informace o tomto nástroji získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
827363 skenovacího nástroje KB 824146 k určení hostitelských počítačů, které nemají 823980 (MS03-026) a 824146 (MS03-039) nainstalovány opravy zabezpečení

Můžete také ověřit, zda je v počítači nainstalována oprava zabezpečení pomocí nástroje Microsoft Baseline Security Analyzer (MBSA), porovnáním verzí souborů v počítači do seznamu souborů v části "Informace o souborech" tohoto článku nebo tak, že zkontrolujete, zda existuje následující klíč registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
Chcete-li ověřit, zda byla tato aktualizace nainstalována, použijte Microsoft Baseline Security Analyzer (MBSA). Další informace o nástroji MBSA naleznete na následujícím webu společnosti Microsoft:
Informace o nasazení
Chcete-li nainstalovat opravu zabezpečení nainstalovat bez zásahu uživatele, zadejte následující příkaz:
WindowsServer2003-KB823980-x86-ENU /u /q
Chcete-li opravu zabezpečení nainstalovat bez vynucení restartování počítače, zadejte následující příkaz:
WindowsServer2003-KB823980-x86-ENU /z
Poznámka: Lze společně zadat do jednoho příkazu.

Informace o způsobu zavedení této opravy zabezpečení pomocí služby Software Update Services získáte na následujícím webu společnosti Microsoft:
Požadavek na restartování
Při restartování počítače po instalaci této opravy zabezpečení.
Informace o odinstalaci
K odebrání této opravy zabezpečení, pomocí nástroje Přidat nebo odebrat programy v Ovládacích panelech.

Správci systému mohou k odebrání této opravy zabezpečení použít nástroj Spuninst.exe. Nástroj Spuninst.exe je umístěn ve složce %Windir%\$NTUninstallKB823980$\Spuninst. Tento nástroj podporuje následující instalační přepínače:
  • /? : Zobrazí seznam instalačních přepínačů.
  • /u : Použije bezobslužný režim.
  • / f : Vynutí jiných ukončení programů při vypnutí počítače.
  • /z : Nerestartuje počítač po dokončení instalace.
  • / q : Použije tichý režim (bez zásahu uživatele).
Informace o nahrazení oprav zabezpečení
V počítačích se systémem Windows Server 2003 nenahrazuje tato oprava zabezpečení žádné jiné opravy zabezpečení.

Tato oprava zabezpečení je nahrazena opravou 824146 (MS03-039).
Další informace o opravě zabezpečení 824146 (MS03-039) získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

824146 MS03-039: přetečení vyrovnávací paměti ve službě RPCSS umožňuje útočníkovi spustit nebezpečné programy

Informace o souboru
Anglická verze této opravy má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi časem UTC a místním časem, naleznete na kartě časové pásmo na panelu Datum a čas v okně Ovládací panely.


Windows Server 2003 32-Bit Edition:
   Date         Time   Version            Size    File name    Folder
-------------------------------------------------------------------
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Ole32.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.59 657,920 Rpcrt4.dll \rtmgdr
05-Jul-2003 18:03 5.2.3790.68 217,088 Rpcss.dll \rtmgdr
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Ole32.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.63 658,432 Rpcrt4.dll \rtmqfe
05-Jul-2003 18:01 5.2.3790.68 217,600 Rpcss.dll \rtmqfe



Windows Server 2003 64-Bit Edition a Windows XP 64-Bit Edition verze 2003:
   Date         Time   Version            Size    File name                Folder
----------------------------------------------------------------------------------
05-Jul-2003 18:05 5.2.3790.68 3,549,184 Ole32.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.59 2,127,872 Rpcrt4.dll (IA64) \Rtmgdr
05-Jul-2003 18:05 5.2.3790.68 660,992 Rpcss.dll (IA64) \Rtmgdr
05-Jul-2003 18:03 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.59 539,648 Wrpcrt4.dll (X86) \Rtmgdr\Wow
05-Jul-2003 18:03 5.2.3790.68 3,548,672 Ole32.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.63 2,128,384 Rpcrt4.dll (IA64) \Rtmqfe
05-Jul-2003 18:03 5.2.3790.68 662,016 Rpcss.dll (IA64) \Rtmqfe
05-Jul-2003 18:01 5.2.3790.68 1,182,720 Wole32.dll (X86) \Rtmqfe\Wow
05-Jul-2003 18:01 5.2.3790.63 539,648 Wrpcrt4.dll (X86) \Rtmqfe\Wow

Poznámka: Pokud nainstalujete tuto opravu zabezpečení do počítače se systémem Windows Server 2003 nebo Windows XP 64-Bit Edition Version 2003, zkontroluje instalační služba, pokud některé soubory, které jsou aktualizovány v počítači již dříve aktualizovány pomocí opravy hotfix společnosti Microsoft. Pokud jste nainstalovali dříve aktualizovali některý z uvedených souborů pomocí opravy hotfix, zkopíruje instalační služba soubory opravy hotfix do počítače. Jinak zkopíruje instalační služba do počítače soubory GDR.
Další informace získáte kliknutím na následující číslo v článku databáze Microsoft Knowledge Base:
824994 popis obsahu balíčku aktualizace k produktu Windows Server 2003

Můžete ověřit soubory, které tato oprava zabezpečení kontrolou následujícího klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Systém Windows XP (všechny verze)

Stáhnout informace
Následující soubory jsou k dispozici pro stažení z webu Microsoft Download Center:


Windows XP Professional a Windows XP Home EditionSystém Windows XP 64-Bit Edition verze 2002Datum vydání: 16. července 2003

Další informace o stažení Microsoft Support soubory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
119591 jak získat soubory podpory společnosti Microsoft ze serverů služeb Online
Microsoft zkontroloval tento soubor na přítomnost virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici k datu, kdy byl soubor vydán. Soubor je uložen na zabezpečených serverech, které pomáhají zabránit neoprávněné změny souboru.
Předpoklady
Tato oprava zabezpečení vyžaduje vydanou verzi systému Windows XP nebo Windows XP Service Pack 1 (SP1). Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
322389 jak získat nejnovější Service Pack XP Windows
Informace o instalaci
Tato oprava zabezpečení podporuje následující instalační přepínače:
  • /? : Zobrazí seznam instalačních přepínačů.
  • /u : Použije bezobslužný režim.
  • / f : Vynutí jiných ukončení programů při vypnutí počítače.
  • / n : Nevytvoří zálohu souborů pro účely odinstalace.
  • /o : Přepíše soubory OEM bez výzvy k potvrzení.
  • /z : Nerestartuje počítač po dokončení instalace.
  • / q : Použije tichý režim (bez zásahu uživatele).
  • / l : seznam nainstalovaných oprav hotfix.
  • /x : Extrahuje soubory bez spuštění instalace.
Společnost Microsoft vydala nástroj, který mohou správci sítě rozpoznat v síti systémy, které nemají tato oprava zabezpečení nainstalována.
Další informace o tomto nástroji získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
827363 skenovacího nástroje KB 824146 k určení hostitelských počítačů, které nemají 823980 (MS03-026) a 824146 (MS03-039) nainstalovány opravy zabezpečení

Můžete také ověřit, zda je v počítači nainstalována oprava zabezpečení pomocí nástroje Microsoft Baseline Security Analyzer (MBSA), porovnáním verzí souborů v počítači do seznamu souborů v části "Informace o souborech" tohoto článku nebo tak, že zkontrolujete, zda existuje následující klíč registru:

Systém Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Systém Windows XP Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Další informace o Microsoft Baseline Security Analyzer (MBSA) získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
320454 Nástroj Microsoft Baseline Security Analyzer (MBSA) verze 1.1.1 je k dispozici

Informace o nasazení
Chcete-li nainstalovat opravu zabezpečení nainstalovat bez zásahu uživatele, zadejte následující příkaz:
WindowsXP-KB823980-x86-ENU /u /q
Chcete-li opravu zabezpečení nainstalovat bez vynucení restartování počítače, zadejte následující příkaz:
WindowsXP-KB823980-x86-ENU /z
Poznámka: Lze společně zadat do jednoho příkazu.

Informace o způsobu zavedení této opravy zabezpečení pomocí služby Software Update Services získáte na následujícím webu společnosti Microsoft:
Požadavek na restartování
Při restartování počítače po instalaci této opravy zabezpečení.
Informace o odinstalaci
K odebrání této opravy zabezpečení, pomocí nástroje Přidat nebo odebrat programy v Ovládacích panelech.

Správci systému mohou k odebrání této opravy zabezpečení použít nástroj Spuninst.exe. Nástroj Spuninst.exe je umístěn ve složce %Windir%\$NTUninstallKB823980$\Spuninst. Tento nástroj podporuje následující instalační přepínače:
  • /? : Zobrazí seznam instalačních přepínačů.
  • /u : Použije bezobslužný režim.
  • / f : Vynutí jiných ukončení programů při vypnutí počítače.
  • /z : Nerestartuje počítač po dokončení instalace.
  • / q : Použije tichý režim (bez zásahu uživatele).
Informace o nahrazení oprav zabezpečení
V počítačích se systémem Windows XP nahrazuje tato oprava zabezpečení opravu 331953 (MS03-010).

Tato oprava je nahrazena opravou 824146 (MS03-039).
Další informace o opravě zabezpečení 824146 (MS03-039) získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

824146 MS03-039: přetečení vyrovnávací paměti ve službě RPCSS umožňuje útočníkovi spustit nebezpečné programy

Informace o souboru
Anglická verze této opravy má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi časem UTC a místním časem, naleznete na kartě časové pásmo na panelu Datum a čas v okně Ovládací panely.


Windows XP Professional a Windows XP Home Edition:

   Date         Time   Version            Size    File name
-------------------------------------------------------------------
05-Jul-2003 19:14 5.1.2600.115 1,092,096 Ole32.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.109 439,296 Rpcrt4.dll pre-SP1
05-Jul-2003 19:14 5.1.2600.115 203,264 Rpcss.dll pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 1,120,256 Ole32.dll with SP1
05-Jul-2003 19:12 5.1.2600.1230 504,320 Rpcrt4.dll with SP1
05-Jul-2003 19:12 5.1.2600.1243 202,752 Rpcss.dll with SP1

Systém Windows XP 64-Bit Edition verze 2002:

   Date         Time   Version            Size    File name
--------------------------------------------------------------------------------
05-Jul-2003 19:15 5.1.2600.115 4,191,744 Ole32.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.109 2,025,472 Rpcrt4.dll (IA64) pre-SP1
05-Jul-2003 19:15 5.1.2600.115 737,792 Rpcss.dll (IA64) pre-SP1
05-Jul-2003 19:12 5.1.2600.1243 4,292,608 Ole32.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1230 2,292,224 Rpcrt4.dll (IA64) with SP1
05-Jul-2003 19:12 5.1.2600.1243 738,304 Rpcss.dll (IA64) with SP1
05-Jul-2003 18:37 5.1.2600.115 1,092,096 Wole32.dll (X86) pre-SP1
03-Jan-2003 02:06 5.1.2600.109 440,320 Wrpcrt4.dll (X86) pre-SP1
05-Jul-2003 18:07 5.1.2600.1243 1,120,256 Wole32.dll (X86) with SP1
04-Jun-2003 17:35 5.1.2600.1230 505,344 Wrpcrt4.dll (X86) with SP1


Poznámka: Verze této opravy systému Windows XP jsou zabaleny jako balíčky s duálním režimem.
Další informace o balíčcích s duálním režimem získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
328848 Popis balíčků aktualizací s duálním režimem pro systém Windows XP


Můžete ověřit soubory, které tato oprava zabezpečení kontrolou následujícího klíče registru:

Systém Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Systém Windows XP Service Pack 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Systém Windows 2000 (všechny verze)

Stáhnout informace
Následující soubor je k dispozici pro stažení z Microsoft Download Center:

Datum vydání: 16. července 2003

Další informace o stažení Microsoft Support soubory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
119591 jak získat soubory podpory společnosti Microsoft ze serverů služeb Online
Microsoft zkontroloval tento soubor na přítomnost virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici k datu, kdy byl soubor vydán. Soubor je uložen na zabezpečených serverech, které pomáhají zabránit neoprávněné změny souboru.


Poznámka: Tato oprava není podporována v systému Windows 2000 Datacenter Server. Informace o získání opravy zabezpečení systému Windows 2000 Datacenter Server obraťte se na výrobce OEM.
Další informace o systému Windows 2000 Datacenter Server klepněte na následující číslo článku databáze Microsoft Knowledge Base:
265173 Datacenter Program a produkt Windows 2000 Datacenter Server

Předpoklady
Tato oprava zabezpečení vyžaduje systém Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) nebo Windows 2000 Service Pack 4 (SP4).

Další informace získáte kliknutím na následující číslo v článku databáze Microsoft Knowledge Base:
260910 jak získat nejnovější systém Windows 2000 Service Pack

Informace o instalaci
Tato oprava zabezpečení podporuje následující instalační přepínače:
  • /? : Zobrazí seznam instalačních přepínačů.
  • /u : Použije bezobslužný režim.
  • / f : Vynutí jiných ukončení programů při vypnutí počítače.
  • / n : Nevytvoří zálohu souborů pro účely odinstalace.
  • /o : Přepíše soubory OEM bez výzvy k potvrzení.
  • /z : Nerestartuje počítač po dokončení instalace.
  • / q : Použije tichý režim (bez zásahu uživatele).
  • / l : seznam nainstalovaných oprav hotfix.
  • /x : Extrahuje soubory bez spuštění instalace.
Společnost Microsoft vydala nástroj, který umožňuje vyhledat v síti systémy, které nemají tato oprava zabezpečení nainstalována.
Další informace o tomto nástroji získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
827363 skenovacího nástroje KB 824146 k určení hostitelských počítačů, které nemají 823980 (MS03-026) a 824146 (MS03-039) nainstalovány opravy zabezpečení

Můžete také ověřit, zda je v počítači nainstalována oprava zabezpečení pomocí nástroje Microsoft Baseline Security Analyzer (MBSA), porovnáním verzí souborů v počítači do seznamu souborů v části "Informace o souborech" tohoto článku nebo tak, že zkontrolujete, zda existuje následující klíč registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Další informace o Microsoft Baseline Security Analyzer (MBSA) získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
320454 Nástroj Microsoft Baseline Security Analyzer (MBSA) verze 1.1.1 je k dispozici

Informace o nasazení
Chcete-li nainstalovat opravu zabezpečení nainstalovat bez zásahu uživatele, zadejte následující příkaz:
Windows2000-KB823980-x86-ENU /u /q
Chcete-li opravu zabezpečení nainstalovat bez vynucení restartování počítače, zadejte následující příkaz:
Windows2000-KB823980-x86-ENU /z
Poznámka: Lze společně zadat do jednoho příkazu.

Informace o způsobu zavedení této opravy zabezpečení pomocí služby Software Update Services získáte na následujícím webu společnosti Microsoft:
Požadavek na restartování
Při restartování počítače po instalaci této opravy zabezpečení.
Informace o odinstalaci
K odebrání této opravy zabezpečení, pomocí nástroje Přidat nebo odebrat programy v Ovládacích panelech.

Správci systému mohou k odebrání této opravy zabezpečení použít nástroj Spuninst.exe. Nástroj Spuninst.exe je umístěn ve složce %Windir%\$NTUninstallKB823980$\Spuninst. Tento nástroj podporuje následující instalační přepínače:
  • /? : Zobrazí seznam instalačních přepínačů.
  • /u : Použije bezobslužný režim.
  • / f : Vynutí jiných ukončení programů při vypnutí počítače.
  • /z : Nerestartuje počítač po dokončení instalace.
  • / q : Použije tichý režim (bez zásahu uživatele).
Informace o nahrazení oprav zabezpečení
V počítačích se systémem Windows 2000 nahrazuje tato oprava zabezpečení opravu 331953 (MS03-010).

Tato oprava je nahrazena opravou 824146 (MS03-039).
Další informace o opravě zabezpečení 824146 (MS03-039) získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

824146 MS03-039: přetečení vyrovnávací paměti ve službě RPCSS umožňuje útočníkovi spustit nebezpečné programy

Informace o souboru
Anglická verze této opravy má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi časem UTC a místním časem, naleznete na kartě časové pásmo na panelu Datum a čas v okně Ovládací panely.


   Date         Time   Version            Size    File name
--------------------------------------------------------------
05-Jul-2003 17:15 5.0.2195.6769 944,912 Ole32.dll
05-Jul-2003 17:15 5.0.2195.6753 432,400 Rpcrt4.dll
05-Jul-2003 17:15 5.0.2195.6769 188,688 Rpcss.dll

Můžete ověřit soubory, které tato oprava zabezpečení kontrolou následujícího klíče registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Podporovaná oprava hotfix je nyní k dispozici od společnosti Microsoft, ale je určena pouze k opravě problému popsaného v tomto článku. Použijte ji pouze u systémů, ve kterých dochází k tomuto konkrétnímu problému.

Chcete-li vyřešit tento problém, obraťte se na služby technické podpory pro tuto opravu hotfix. Úplný seznam telefonních čísel služeb technické podpory společnosti Microsoft a informace o cenách podpory naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve zvláštních případech mohou být stornovány poplatky, které jsou třeba obvykle zaplatit za telefonní hovory, pokud pracovník služeb podpory společnosti Microsoft určí, že konkrétní aktualizace odstraní váš problém. Výdaje na technickou podporu použije dalších otázek a problémů, které nelze vyřešit konkrétní aktualizací.

Systém Windows NT 4.0 (všechny verze)

Stáhnout informace
Následující soubory jsou k dispozici pro stažení z webu Microsoft Download Center:


Windows NT 4.0 Server:Systém Windows NT 4.0 Server, Terminal Server Edition:Datum vydání: 16. července 2003

Další informace o stažení Microsoft Support soubory klepněte na následující číslo článku databáze Microsoft Knowledge Base:
119591 jak získat soubory podpory společnosti Microsoft ze serverů služeb Online
Microsoft zkontroloval tento soubor na přítomnost virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici k datu, kdy byl soubor vydán. Soubor je uložen na zabezpečených serverech, které pomáhají zabránit neoprávněné změny souboru.
Předpoklady
Tato oprava zabezpečení vyžaduje systém Windows NT 4.0 Service Pack 6a (SP6a) nebo Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6).

Poznámka: Tuto opravu zabezpečení lze nainstalovat v systému Windows NT 4.0 Workstation. Však společnost Microsoft již nepodporuje tuto verzi podle zásad (Lifecycle Support) společnosti Microsoft. Dále tato oprava zabezpečení nebyl testován v systému Windows NT 4.0 Workstation. Informace o zásadách (Lifecycle Support) společnosti Microsoft naleznete na následujícím webu společnosti Microsoft:Další informace získáte kliknutím na následující číslo v článku databáze Microsoft Knowledge Base:
152734 jak získat nejnovější Service Pack systému Windows NT 4.0

Informace o instalaci
Tato oprava zabezpečení podporuje následující instalační přepínače:
  • /y : umožňuje odebrání (pouze s přepínačem /m nebo/q ).
  • / f : Vynutit ukončení při vypnutí programů.
  • / n : Nelze vytvořit složku pro odinstalování.
  • /z : Nerestartuje počítač po dokončení aktualizace.
  • / q : Tichý nebo bezobslužný režim bez uživatelského rozhraní (Tento přepínač představuje nadmnožinu přepínače /m ).
  • /m : Použije bezobslužný režim s uživatelským rozhraním.
  • / l : seznam nainstalovaných oprav hotfix.
  • /x : Extrahuje soubory bez spuštění instalace.
Společnost Microsoft vydala nástroj, který umožňuje vyhledat v síti systémy, které nemají tato oprava zabezpečení nainstalována.
Další informace o tomto nástroji získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
827363 skenovacího nástroje KB 824146 k určení hostitelských počítačů, které nemají 823980 (MS03-026) a 824146 (MS03-039) nainstalovány opravy zabezpečení

Můžete také ověřit, zda je v počítači nainstalována oprava zabezpečení pomocí nástroje Microsoft Baseline Security Analyzer (MBSA), porovnáním verzí souborů v počítači do seznamu souborů v části "Informace o souborech" tohoto článku nebo tak, že zkontrolujete, zda existuje následující klíč registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Další informace o Microsoft Baseline Security Analyzer (MBSA) získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
320454 Nástroj Microsoft Baseline Security Analyzer (MBSA) verze 1.1.1 je k dispozici

Informace o nasazení
Chcete-li nainstalovat opravu zabezpečení nainstalovat bez zásahu uživatele, zadejte následující příkaz:
Q823980i /q
Chcete-li opravu zabezpečení nainstalovat bez vynucení restartování počítače, zadejte následující příkaz:
Q823980i /z
Poznámka: Lze společně zadat do jednoho příkazu.

Informace o způsobu zavedení této opravy zabezpečení pomocí služby Software Update Services získáte na následujícím webu společnosti Microsoft:
Požadavek na restartování
Při restartování počítače po instalaci této opravy zabezpečení.
Informace o odinstalaci
K odebrání této opravy zabezpečení, pomocí nástroje Přidat nebo odebrat programy v Ovládacích panelech.

Správci systému mohou k odebrání této opravy zabezpečení použít nástroj Spuninst.exe. Nástroj Spuninst.exe je umístěn ve složce %Windir%\$NTUninstallKB823980$\Spuninst. Tento nástroj podporuje následující instalační přepínače:
  • /? : Zobrazí seznam instalačních přepínačů.
  • /u : Použije bezobslužný režim.
  • / f : Vynutí jiných ukončení programů při vypnutí počítače.
  • /z : Nerestartuje počítač po dokončení instalace.
  • / q : Použije tichý režim (bez zásahu uživatele).
Informace o nahrazení oprav zabezpečení
Pro počítače se systémem Windows NT 4.0 nahrazuje tato oprava zabezpečení opravu zabezpečení, která je k dispozici Bulletin zabezpečení společnosti Microsoft MS01-048.

Tato oprava je nahrazena opravou 824146 (MS03-039).
Další informace o opravě zabezpečení 824146 (MS03-039) získáte v následujícím článku znalostní báze Microsoft Knowledge Base:

824146 MS03-039: přetečení vyrovnávací paměti ve službě RPCSS umožňuje útočníkovi spustit nebezpečné programy

Informace o souboru
Anglická verze této opravy má atributy souborů (nebo novější) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Rozdíl mezi časem UTC a místním časem, naleznete na kartě časové pásmo na panelu Datum a čas v okně Ovládací panely.


Windows NT 4.0 Server:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
05-Jul-2003 5:26 4.0.1381.7224 701,200 Ole32.dll
05-Jul-2003 5:26 4.0.1381.7219 345,872 Rpcrt4.dll
05-Jul-2003 5:26 4.0.1381.7224 107,280 Rpcss.exe

Systém Windows NT 4.0 Server, Terminal Server Edition:
   Date         Time  Version           Size     File name
--------------------------------------------------------------
07-Jul-2003 3:29 4.0.1381.33549 701,712 Ole32.dll
07-Jul-2003 3:29 4.0.1381.33474 345,360 Rpcrt4.dll
07-Jul-2003 3:29 4.0.1381.33549 109,328 Rpcss.exe

Chcete-li ověřit, že byla oprava zabezpečení nainstalována do počítače, potvrďte, že se v počítači nacházejí všechny soubory, které jsou uvedeny v tabulce.

Jak potíže obejít

Společnost Microsoft sice doporučuje všem zákazníkům, aby použili opravu zabezpečení při nejbližší možné příležitosti, existuje několik dočasných řešení, které lze zablokovat vektor používaný ke zneužití uvedené chyby.

Tato zástupná řešení jsou pouze dočasnými opatřeními. Pomáhají pouze zablokovat cesty používané při útoku. Neopravují základní chybu.

V následujících částech naleznete informace, které vám pomohou chránit počítač před útokem. Každé části je popsáno řešení, které lze použít v závislosti na konfiguraci počítače a požadované úrovni funkčnosti.
  • Porty blok UDP 135, 137, 138 a 445 a porty TCP 135, 139, 445 a 593 v bráně firewall a zakázat službu modelu COM pro Internet (CIS) a protokol RPC nad protokolem HTTP naslouchající na portech 80 a 443. Tyto porty slouží k navázání připojení protokolu RPC ke vzdálenému počítači. Blokování portů branou firewall pomůže zabránit systému za touto branou firewall před útoky, které se pokoušejí zneužít tyto chyby zabezpečení. Byste měli zablokovat také všechny další speciálně nakonfigurované porty RPC ve vzdáleném počítači.

    Je-li povoleno, služba CIS a protokol RPC nad protokolem HTTP umožňují voláním modelu DCOM pracovat přes port TCP 80 (a portu 443 v systému Windows XP a Windows Server 2003). Ujistěte se, zda jsou služba CIS a protokol RPC over HTTP ve všech požadovaných počítačích zakázány.

    Další informace o zakázání služby CIS klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    825819 jak odebrat COM Internet Services (CIS) a protokol RPC over HTTP Proxy podpora

    Další informace o protokolu RPC over HTTP naleznete na následujícím webu společnosti Microsoft:Navíc uživatelé nakonfigurovali služby nebo protokoly používající protokol RPC, který lze také získat přístup z Internetu. Správci systémů jsou důrazně doporučujeme, aby zkontrolovali porty protokolu RPC, které jsou vystaveny v Internetu a buď blokování těchto portů v bráně firewall nebo aby ihned nainstalovali opravu.
  • Použití brány Firewall pro připojení k Internetu a zakázat službu modelu COM pro Internet (CIS) a protokol RPC nad protokolem HTTP naslouchající na portech 80 a 443. Pokud používáte funkci Brána Firewall pro připojení k Internetu v systému Windows XP nebo Windows Server 2003 umožňují chránit připojení k Internetu, bude ve výchozím nastavení blokovat příchozí RPC komunikace z Internetu. Ujistěte se, zda jsou služba CIS a protokol RPC over HTTP ve všech požadovaných počítačích zakázány.
    Další informace o zakázání služby CIS klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    825819 jak odebrat COM Internet Services (CIS) a protokol RPC over HTTP Proxy podpora

    Další informace o protokolu RPC over HTTP naleznete na následujícím webu společnosti Microsoft:
  • Zablokujte pomocí filtru protokolu IPSEC porty a zakažte službu modelu COM pro Internet (CIS) a protokol RPC nad protokolem HTTP naslouchající na portech 80 a 443 příslušných počítačích Pokud používáte Internet Protocol Security (IPSec) můžete zabezpečit síťové komunikace v počítačích se systémem Windows 2000.
    Další informace o protokolu IPSec a způsobu použití filtrů získáte klepnutím na následující čísla článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:
    313190 jak: seznamy filtrování adres IP pro použití v systému Windows 2000

    813878 jak blokovat konkrétní síťové protokoly a porty pomocí protokolu IPSec

    Ujistěte se, zda jsou služba CIS a protokol RPC over HTTP ve všech požadovaných počítačích zakázány. Další informace o zakázání služby CIS klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    825819 jak odebrat COM Internet Services (CIS) a protokol RPC over HTTP Proxy podpora

  • Zakázání modelu DCOM ve všech ohrožených počítačích: Pokud je počítač součástí sítě, umožní síťový protokol modelu DCOM objektům COM v počítači komunikaci s objekty COM v jiných počítačích.

    Zakázáním modelu DCOM pro určitý počítač k ochraně proti této chybě zabezpečení však zakážete veškerou komunikaci mezi objekty v tomto počítači a objekty v ostatních počítačích. Jestliže zakážete model DCOM ve vzdáleném počítači, pak nelze přistupovat vzdáleně tomuto počítači a znovu povolit model DCOM. Model DCOM znovu povolit, musíte mít k počítači fyzický přístup.
    Další informace o zakázání modelu DCOM klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    Jak 825750 zakázání modelu DCOM v systému Windows

    Poznámka: V systému Windows 2000 pracovat metody popsané v článku 825750 zakázání modelu DCOM bude pouze programem Microsoft Knowledge Base v počítačích se systémem Windows 2000 Service Pack 3 nebo novější. Zákazníkům, kteří používají Service Pack 2 nebo starší měli upgradovat na novější aktualizaci service pack nebo použít jedno z dalších řešení.

Stav

Společnost Microsoft potvrzuje, že tento problém může způsobit ohrozit zabezpečení v produktech společnosti Microsoft, které jsou uvedeny na začátku tohoto článku.

Další informace

Další informace o této chybě zabezpečení naleznete na následujícím webu společnosti Microsoft:Další informace o zabezpečení protokolu RPC u klientů a serverů získáte na následujícím webu společnosti Microsoft:Další informace o portech, které protokol RPC používá naleznete na následujícím webu společnosti Microsoft:Další informace o viru worm Blaster, který zneužívá tuto chybu zabezpečení, která je vyřešena opravou zabezpečení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
826955 Výstraha týkající se viru Worm Blaster a jeho variant

Další informace o viru worm Nachi, který zneužívá tuto chybu zabezpečení, která je vyřešena opravou zabezpečení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
826234 Výstraha týkající se viru Worm Nachi

Další informace o tom, jak získat opravu hotfix pro systém Windows 2000 Datacenter Server klepněte na následující číslo článku databáze Microsoft Knowledge Base:
265173 Datacenter Program a produkt Windows 2000 Datacenter Server

Vlastnosti

ID článku: 823980 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor