MS03-026: Az RPC-felület puffertúlcsordulása programkód végrehajtására adhat lehetőséget

Technikai frissítés

  • 2003. szeptember 10.: Ebben a cikkben a következők változtak:
    • Az „Információ a biztonsági javítások lecseréléséről” című szakaszok frissültek annak jelzésére, hogy ezt a javítást a 824146-os (MS03-039) javítás váltja fel.
      A 824146-os biztonsági javításról (MS03-039) a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

      824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak

    • A frissített „Információ a telepítéshez” című szakaszok frissültek annak jelzésére, hogy a Microsoft kiadott egy eszközt, amelyet a hálózati rendszergazdák hálózatuk vizsgálatára és a 823980-as (MS03-026), illetve a 824146-os (MS03-039) biztonsági javítással nem rendelkező számítógépek azonosítására használhatnak.
      Az eszközről a Microsoft Tudásbázis következő cikkében tájékozódhat:
      827363 A 823980-as (MS03-026) és a 824146-os (MS03-039) számú biztonsági javítást nem tartalmazó gazdaszámítógépek azonosítása a KB 824146 keresőeszközzel

    • Frissült a cikk „Információ a biztonsági javítások lecseréléséről” című szakaszának Windows NT 4.0 rendszerre vonatkozó része is, jelezve, hogy ez a biztonsági javítás lecseréli a Windows NT 4.0-alapú számítógépekhez készült 305399-es (MS01-048) javítást.
  • 2003. augusztus 19.: A frissített „További információ” szakasz hivatkozást tartalmaz a Microsoft Tudásbázis 826234-es cikkére. Ez utóbbi cikk arról a Nachi féregvírusról tartalmaz információt, amely az ezzel a biztonsági javítással megszüntetett biztonsági rést próbálja meg kihasználni.
    826234 Vírusriasztás: a Nachi féreg

  • 2003. augusztus 14.: Ebben a cikkben a következők változtak:
    • A „További információ” című szakaszt a Microsoft Tudásbázis 826955-ös számú cikkére való hivatkozással bővítettük. Ez a cikk a Blaster féregvírusról tartalmaz információt, amely az ezzel a biztonsági javítással kijavított biztonsági rést használja ki.
      826955 Vírusriasztás: a Blaster féreg és variánsai

    • A „Telepítési információ” című részben most már megtalálható annak a Microsoft által kibocsátott eszköznek az ismertetése, amelyet a hálózati rendszergazdák használhatnak olyan rendszerek felderítésére a hálózaton, amelyeken ez a javítás nincs telepítve.
    • Frissítettük az „Információ a biztonsági javítások lecseréléséről” című részt, amelyből megtudható, hogy ez a biztonsági javítás a 331953-as (MS03-010) számú javítást helyettesíti Windows 2000 és Windows XP rendszert futtató számítógépeken. Windows NT 4.0 és Windows Server 2003 rendszert futtató számítógépek esetén ez a biztonsági javítás semmilyen más javítást nem helyettesít.
    • Frissítettük a Windows 2000 „Előfeltételek” című részét, amelyben most már megtalálhatók a javítás Windows 2000 Service Pack 2 támogatásával kapcsolatos tudnivalók.
    • A „Kerülő megoldás” című rész újabb információkkal bővült.
  • 2003. július 18.: Új információkkal frissültek „A jelenség” és „A hibát enyhítő tényezők” című részek. A Windows 2000 „Előfeltételek” című része új megjegyzéssel bővült. A Windows NT 4.0 „Előfeltételek” című része megjegyzéssel egészült ki. A „Windows NT 4.0” című részben a „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980” beállításkulcs (korábbi nevén rendszerleíró kulcs) „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980” értékűre módosult. A „Kerülő megoldás” című részben az első pont szövege megváltozott („A 135-ös port blokkolása a tűzfalon”). A következő részekben a fájlinformációs táblázatok módosultak: Windows Server 2003, 32-Bit Edition; Windows Server 2003, 64-Bit Edition; Windows XP Professional és Windows XP Home Edition; Windows XP 64-Bit Edition.
  • 2003. augusztus 18.: Frissült az „Előfeltételek” című rész.

A jelenség

A Microsoft eredetileg 2003. július 16-án adta ki ezt az értesítést egy Windows elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) távoli eljáráshívási (RPC) felületén mutatkozó biztonsági rés kijavítására. A javítás máig alkalmas a biztonsági rés kijavítására. Az eredeti értesítésben azonban a hibát enyhítő tényezőket és a megoldásokat tárgyaló részekben nem volt helyesen leírva minden port, amelyeken a hibát ki lehetett használni. A Microsoft frissítette ezt az értesítést, így most már részletesen megtalálható minden olyan port leírása, amelyeken keresztül az RPC szolgáltatások meghívhatók, ezért az ismertetett eljárásokat elvégző felhasználók a javítás telepítése előtt az összes fontos információval el vannak látva. Azok, akik korábban már telepítették a javítást, védettek a biztonsági rés okozta problémákkal szemben, így további lépéseket nem kell tenniük.

A távoli eljáráshívás (RPC) a Windows operációs rendszer egyik protokollja. Az RPC olyan, folyamatok közötti kommunikációs mechanizmust biztosít, amely lehetővé teszi, hogy a programok zökkenőmentesen kódot futtathassanak egy távoli számítógépen. Maga a protokoll a Nyitott Szoftver Alapítvány (Open Software Foundation, OSF) RPC protokolljából származik. A Windows által használt RPC protokoll néhány Microsoft-specifikus bővítményt is tartalmaz.

Az RPC protokoll TCP/IP-üzenetkezelő részében biztonsági rés található. A hiba a helytelenül formázott üzenetek nem megfelelő kezeléséből ered. Ez a biztonsági rés az elosztott komponensobjektum-modell (Distributed Component Object Model, DCOM) egyik RPC-felületére van hatással, amely az RPC-kompatibilis portokat figyeli. Ez a felület az ügyfélszámítógépek által a kiszolgálónak küldött DCOM-objektumaktiválási kérelmeket (például a Universal Naming Convention [UNC] elérési utakra vonatkozó kérelmeket) kezeli. A biztonsági rést kihasználó támadó Helyi rendszer jogosultságokkal futtathat programkódot a rendszeren. A támadó bármilyen műveletet végrehajthat a rendszeren: programokat telepíthet, adatokat tekinthet meg, módosíthat és törölhet, továbbá teljes jogosultságokkal rendelkező új fiókokat hozhat létre.

A biztonsági rés kihasználásához a támadónak speciális formátumú kérelmet kell küldenie a távoli számítógépnek meghatározott RPC-portokon keresztül.

A hibát enyhítő tényezők
  • A biztonsági rés kihasználásához a támadónak speciális formátumú kérelmet kell küldenie a 135-ös, 139-es és 445-ös portokra, vagy a távoli számítógép bármely más speciálisan konfigurált RPC-portjára. Intranetes környezetben ezek a portok általában elérhetők, az internethez csatlakozó számítógépeknél azonban a rendszerint blokkolja őket a tűzfal. Amennyiben a portok nincsenek blokkolva, illetve intranetes környezetben a támadónak nincs szüksége semmilyen egyéb jogosultságra.
  • Gyakorlati tanácsként azt ajánljuk, hogy az összes éppen nem használt TCP/IP portot blokkolja. A legtöbb tűzfal, köztük a Windows Internetkapcsolat tűzfala (ICF) szolgáltatása alapértelmezés szerint blokkolja ezeket a portokat. Ezért a legtöbb, internethez csatlakozó számítógépen az TCP-n vagy UDP-n keresztüli RPC blokkolva van. A TCP-n vagy UDP-n keresztüli RPC-t nem veszélyes környezetben (mint például az internet) való használatra tervezték. Ilyen környezetekben biztonságosabb protokollokat kell használni (például RPC HTTP-n keresztül).

A megoldás

Információ a biztonsági javításról

A biztonsági rés javításáról a következő lista megfelelő hivatkozására kattintva tájékozódhat:

Windows Server 2003 (minden verzió)

Letöltési információ
A következő fájlok letölthetők a Microsoft letöltőközpontjából:


Windows Server 2003, 32-Bit EditionWindows Server 2003 64-Bit Edition és Windows XP 64-Bit Edition Version 2003 Kiadás dátuma: 2003. július 16.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.
Előfeltételek
A javítás telepítéséhez a Windows Server 2003 kereskedelmi verziója szükséges.
Telepítési információ
A javítás a következő telepítési kapcsolókat támogatja:
  • /?: A telepítési kapcsolók listájának megjelenítése
  • /u: Felügyelet nélküli üzemmód használata
  • /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
  • /n: A frissítés eltávolításához a fájlokról készítendő biztonsági másolat mentésének kihagyása
  • /o: Az OEM-fájlok automatikus felülírása
  • /z: A számítógép újraindításának kihagyása a telepítés befejeztével
  • /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
  • /l: A telepített gyorsjavítások felsorolása
  • /x: A fájlok kicsomagolása a telepítő futtatása nélkül
A Microsoft kiadott egy eszközt, amelyet a hálózati rendszergazdák használhatnak olyan rendszerek észlelésére, amelyeken nincs telepítve a biztonsági javítás.
Az eszközről a Microsoft Tudásbázis következő cikkében tájékozódhat:
827363 A 823980-as (MS03-026) és a 824146-os (MS03-039) számú biztonsági javítást nem tartalmazó gazdaszámítógépek azonosítása a KB 824146 keresőeszközzel

A biztonsági javítás telepítését a Microsoft Baseline Security Analyzer (MBSA) használatával is ellenőrizheti, ha a számítógépen lévő fájlok verzióit összehasonlítja a „Fájlinformáció” című szakaszban lévő fájlok listájával, vagy ha ellenőrzi a következő beállításkulcs meglétét:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
A Microsoft Baseline Security Analyzer (MBSA) eszközzel ellenőrizheti, hogy a frissítés telepítve van-e. Az MBSA eszközről a Microsoft következő webhelyén tájékozódhat:
Információ a központi telepítéshez
Az összegző frissítőcsomag felhasználói beavatkozás nélküli telepítéséhez a következő parancsot használja:
WindowsServer2003-KB823980-x86-HUN /u /q
A biztonsági javítás újraindítás nélküli telepítéséhez a következő parancsot használja:
WindowsServer2003-KB823980-x86-HUN /z
Megjegyzés: Ezeket a kapcsolókat egy parancson belül együtt is megadhatja.

A biztonsági javítás szoftverfrissítési szolgáltatás segítségével történő telepítéséhez látogasson el a Microsoft következő webhelyére:
Újraindítási követelmény
A biztonsági javítás telepítése után újra kell indítani a számítógépet.
Információ az eltávolításhoz
A biztonsági javítás eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Spuninst.exe segédprogramot is használhatják. A Spuninst.exe segédprogram a %Windir%\$NTUninstallKB823980$\Spuninst mappában található. A segédprogram a következő telepítési kapcsolókat támogatja:
  • /?: A telepítési kapcsolók listájának megjelenítése
  • /u: Felügyelet nélküli üzemmód használata
  • /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
  • /z: A számítógép újraindításának kihagyása a telepítés befejeztével
  • /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
Információ a biztonsági javítások lecseréléséről
Windows Server 2003-alapú számítógépeken ez a biztonsági javítás egyetlen másik biztonsági javítást sem helyettesít.

Ezt a javítást a 824146-os számú (MS03-039) javítás cseréli le.
A 824146-os biztonsági javításról (MS03-039) a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak

Fájlinformációk
A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.


Windows Server 2003, 32-Bit Edition:

Dátum Idő Verzió Méret Fájlnév Mappa
---------------------------------------------------------------------
2003. júl. 5. 18:03 5.2.3790.68 1 182 720 Ole32.dll \rtmgdr
2003. júl. 5. 18:03 5.2.3790.59 657 920 Rpcrt4.dll \rtmgdr
2003. júl. 5. 18:03 5.2.3790.68 217 088 Rpcss.dll \rtmgdr
2003. júl. 5. 18:01 5.2.3790.68 1 182 720 Ole32.dll \rtmqfe
2003. júl. 5. 18:01 5.2.3790.63 658 432 Rpcrt4.dll \rtmqfe
2003. júl. 5. 18:01 5.2.3790.68 217 600 Rpcss.dll \rtmqfe


Windows Server 2003 64-Bit Edition és Windows XP 64-Bit Edition Version 2003:

Dátum Idő Verzió Méret Fájlnév Mappa
-------------------------------------------------------------------------------------
2003. júl. 5. 18:05 5.2.3790.68 3 549 184 Ole32.dll (IA64) \Rtmgdr
2003. júl. 5. 18:05 5.2.3790.59 2 127 872 Rpcrt4.dll (IA64) \Rtmgdr
2003. júl. 5. 18:05 5.2.3790.68 660 992 Rpcss.dll (IA64) \Rtmgdr
2003. júl. 5. 18:03 5.2.3790.68 1 182 720 Wole32.dll (X86) \Rtmgdr\Wow
2003. júl. 5. 18:03 5.2.3790.59 539 648 Wrpcrt4.dll (X86) \Rtmgdr\Wow
2003. júl. 5. 18:03 5.2.3790.68 3 548 672 Ole32.dll (IA64) \Rtmqfe
2003. júl. 5. 18:03 5.2.3790.63 2 128 384 Rpcrt4.dll (IA64) \Rtmqfe
2003. júl. 5. 18:03 5.2.3790.68 662 016 Rpcss.dll (IA64) \Rtmqfe
2003. júl. 5. 18:01 5.2.3790.68 1 182 720 Wole32.dll (X86) \Rtmqfe\Wow
2003. júl. 5. 18:01 5.2.3790.63 539 648 Wrpcrt4.dll (X86) \Rtmqfe\Wow
Megjegyzés: Ha Windows Server 2003 vagy Windows XP 64-Bit Edition Version 2003 rendszert futtató számítógépre telepíti a biztonsági javítást, a telepítő ellenőrzi, hogy a számítógépen frissítendő fájlokat egy korábbi Microsoft gyorsjavítás nem frissítette-e. Ha a fájlok valamelyikét korábban már frissítette egy gyorsjavítással, a telepítő a gyorsjavítás fájljait másolja a számítógépre. Másképp a telepítő a GDR fájlokat másolja a számítógépre.
A Microsoft Tudásbázis kapcsolódó cikke:
824994 A Windows Server 2003 termékfrissítési csomag tartalmának leírása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A következő beállításkulcsok megtekintésével ellenőrizheti a biztonsági javítás által telepített fájlokat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (minden verzió)

Letöltési információ
A következő fájlok letölthetők a Microsoft letöltőközpontjából:


Windows XP Professional és Windows XP Home Edition:Windows XP 64-Bit Edition Version 2002 Kiadás dátuma: 2003. július 16.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.
Előfeltételek
A javítás telepítéséhez a Windows XP vagy Windows XP Service Pack 1 (SP1) rendszer kereskedelmi verziója szükséges. A Microsoft Tudásbázis kapcsolódó cikke:
322389 A Windows XP rendszer legújabb szervizcsomagjának beszerzése
Telepítési információ
Ez a biztonsági javítás a következő telepítési kapcsolók használatát támogatja:
  • /?: A telepítési kapcsolók listájának megjelenítése
  • /u: Felügyelet nélküli üzemmód használata
  • /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
  • /n: A frissítés eltávolításához a fájlokról készítendő biztonsági másolat mentésének kihagyása
  • /o: Az OEM-fájlok automatikus felülírása
  • /z: A számítógép újraindításának kihagyása a telepítés befejeztével
  • /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
  • /l: A telepített gyorsjavítások felsorolása
  • /x: A fájlok kicsomagolása a telepítő futtatása nélkül
A Microsoft kiadott egy eszközt, amelyet a hálózati rendszergazdák használhatnak olyan rendszerek észlelésére, amelyeken nincs telepítve a biztonsági javítás.
Az eszközről a Microsoft Tudásbázis következő cikkében tájékozódhat:
827363 A 823980-as (MS03-026) és a 824146-os (MS03-039) számú biztonsági javítást nem tartalmazó gazdaszámítógépek azonosítása a KB 824146 keresőeszközzel

A biztonsági javítás telepítését a Microsoft Baseline Security Analyzer (MBSA) használatával is ellenőrizheti, ha a számítógépen lévő fájlok verzióit összehasonlítja a „Fájlinformáció” részben lévő fájlok listájával, vagy ha ellenőrzi a következő beállításkulcs meglétét:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP Service Pack 1 (SP1) szervizcsomaggal:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
A Microsoft Baseline Security Analyzer (MBSA) programról a Microsoft Tudásbázis következő cikkében tájékozódhat:
320454 Megjelent a Microsoft Baseline Security Analyzer (MBSA) 1.2.1-es verziója
Információ a központi telepítéshez
A javítás felhasználói beavatkozás nélküli telepítéséhez a következő parancsot használja:
WindowsXP-KB823980-x86-HUN /u /q
A biztonsági javítás újraindítás nélküli telepítéséhez a következő parancsot használja:
WindowsXP-KB823980-x86-HUN /z
Megjegyzés: Ezeket a kapcsolókat egy parancson belül együtt is megadhatja.

A biztonsági javítás szoftverfrissítési szolgáltatás segítségével történő telepítéséhez látogasson el a Microsoft következő webhelyére:
Újraindítási követelmény
A biztonsági javítás telepítése után újra kell indítani a számítógépet.
Információ az eltávolításhoz
A biztonsági javítás eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Spuninst.exe segédprogramot is használhatják. A Spuninst.exe segédprogram a %Windir%\$NTUninstallKB823980$\Spuninst mappában található. A segédprogram a következő kapcsolókat támogatja:
  • /?: A telepítési kapcsolók listájának megjelenítése
  • /u: Felügyelet nélküli üzemmód használata
  • /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
  • /z: A számítógép újraindításának kihagyása a telepítés befejeztével
  • /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
Információ a biztonsági javítások lecseréléséről
Windows XP rendszert futtató számítógépeken ez a biztonsági javítás a 331953-as számút (MS03-010) helyettesíti.

Ezt a javítást a 824146-os számú (MS03-039) javítás cseréli le.
A 824146-os biztonsági javításról (MS03-039) a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak

Fájlinformációk
A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.


Windows XP Professional és Windows XP Home Edition:


Dátum Idő Verzió Méret Fájlnév
---------------------------------------------------------------------------
2003. júl. 5. 19:14 5.1.2600.115 1 092 096 Ole32.dll SP1 előtti
2003. júl. 5. 19:14 5.1.2600.109 439 296 Rpcrt4.dll SP1 előtti
2003. júl. 5. 19:14 5.1.2600.115 203 264 Rpcss.dll SP1 előtti
2003. júl. 5. 19:12 5.1.2600.1243 1 120 256 Ole32.dll SP1 csomaggal
2003. júl. 5. 19:12 5.1.2600.1230 504 320 Rpcrt4.dll SP1 csomaggal
2003. júl. 5. 19:12 5.1.2600.1243 202 752 Rpcss.dll SP1 csomaggal
Windows XP 64-Bit Edition Version 2002:


Dátum Idő Verzió Méret Fájlnév
---------------------------------------------------------------------------------------
2003. júl. 5. 19:15 5.1.2600.115 4 191 744 Ole32.dll (IA64) SP1 előtti
2003. júl. 5. 19:15 5.1.2600.109 2 025 472 Rpcrt4.dll (IA64) SP1 előtti
2003. júl. 5. 19:15 5.1.2600.115 737 792 Rpcss.dll (IA64) SP1 előtti
2003. júl. 5. 19:12 5.1.2600.1243 4 292 608 Ole32.dll (IA64) SP1 csomaggal
2003. júl. 5. 19:12 5.1.2600.1230 2 292 224 Rpcrt4.dll (IA64) SP1 csomaggal
2003. júl. 5. 19:12 5.1.2600.1243 738 304 Rpcss.dll (IA64) SP1 csomaggal
2003. júl. 5. 18:37 5.1.2600.115 1 092 096 Wole32.dll (X86) SP1 előtti
2003. jan. 3. 02:06 5.1.2600.109 440 320 Wrpcrt4.dll (X86) SP1 előtti
2003. júl. 5. 18:07 5.1.2600.1243 1 120 256 Wole32.dll (X86) SP1 csomaggal
2003. jún. 4. 17:35 5.1.2600.1230 505 344 Wrpcrt4.dll (X86) SP1 csomaggal

Megjegyzés: A javítás Windows XP rendszerhez készült verziói kettős módú csomagként vannak csomagolva.
A kettős módú csomagokról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
328848 A Windows XP kettős módú gyorsjavítási csomagjainak ismertetése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

A következő beállításkulcsok megtekintésével ellenőrizheti a biztonsági javítás által telepített fájlokat:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP Service Pack 1 (SP1) szervizcsomaggal:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (minden verzió)

Letöltési információ
A következő fájl letölthető a Microsoft letöltőközpontjából:

Kiadás dátuma: 2003. július 16.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.


Megjegyzés: Ez a javítás nem telepíthető Windows 2000 Datacenter Server rendszerben. A Windows 2000 Datacenter Server rendszer biztonsági javításának beszerzéséhez lépjen kapcsolatba OEM-forgalmazójával.
A Windows 2000 Datacenter Server rendszerről további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
265173 A Datacenter program és a Windows 2000 Datacenter Server termék (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Előfeltételek
Ehhez a biztonsági javításhoz a Windows 2000 Service Pack 2 (SP2), Windows 2000 Service Pack 3 (SP3) vagy Windows 2000 Service Pack 4 (SP4) szükséges.

A Microsoft Tudásbázis kapcsolódó cikke:
260910 A legfrissebb Windows 2000 szervizcsomag beszerzése
Telepítési információ
Ez a biztonsági javítás a következő telepítési kapcsolók használatát támogatja:
  • /?: A telepítési kapcsolók listájának megjelenítése
  • /u: Felügyelet nélküli üzemmód használata
  • /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
  • /n: A frissítés eltávolításához a fájlokról készítendő biztonsági másolat mentésének kihagyása
  • /o: Az OEM-fájlok automatikus felülírása
  • /z: A számítógép újraindításának kihagyása a telepítés befejeztével
  • /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
  • /l: A telepített gyorsjavítások felsorolása
  • /x: A fájlok kicsomagolása a telepítő futtatása nélkül
A Microsoft kiadott egy eszközt, amelyet a hálózati rendszergazdák az ezzel a biztonsági javítással nem rendelkező rendszerek jelenlétének vizsgálatára használhatnak hálózatukban.
Az eszközről a Microsoft Tudásbázis következő cikkében tájékozódhat:
827363 A 823980-as (MS03-026) és a 824146-os (MS03-039) számú biztonsági javítást nem tartalmazó gazdaszámítógépek azonosítása a KB 824146 keresőeszközzel

A biztonsági javítás telepítését a Microsoft Baseline Security Analyzer (MBSA) használatával is ellenőrizheti, ha a számítógépen lévő fájlok verzióit összehasonlítja a „Fájlinformáció” című szakaszban lévő fájlok listájával, vagy ha ellenőrzi a következő beállításkulcs meglétét:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
A Microsoft Baseline Security Analyzer (MBSA) programról a Microsoft Tudásbázis következő cikkében tájékozódhat:
320454 Megjelent a Microsoft Baseline Security Analyzer (MBSA) 1.2.1-es verziója
Információ a központi telepítéshez
A javítás felhasználói beavatkozás nélküli telepítéséhez a következő parancsot használja:
Windows2000-KB823980-x86-HUN /u /q
A biztonsági javítás újraindítás nélküli telepítéséhez a következő parancsot használja:
Windows2000-KB823980-x86-HUN /z
Megjegyzés: Ezeket a kapcsolókat egy parancson belül együtt is megadhatja.

A biztonsági javítás Microsoft szoftverfrissítési szolgáltatások segítségével történő központi telepítéséről a következő Microsoft webhelyen tájékozódhat:
Újraindítás szükségessége
A biztonsági javítás telepítése után újra kell indítani a számítógépet.
Eltávolítási információ
A biztonsági javítás eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Spuninst.exe segédprogramot is használhatják. A Spuninst.exe segédprogram a %Windir%\$NTUninstallKB823980$\Spuninst mappában található. A segédprogram a következő telepítési kapcsolókat támogatja:
  • /?: A telepítési kapcsolók listájának megjelenítése
  • /u: Felügyelet nélküli üzemmód használata
  • /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
  • /z: A számítógép újraindításának kihagyása a telepítés befejeztével
  • /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
Információ a biztonsági javítások lecseréléséről
Windows 2000-alapú számítógépek esetén ez a biztonsági javítás lecseréli a 331953-as számú (MS03-010) javítást.

Ezt a javítást a 824146-os számú (MS03-039) javítás cseréli le.
A 824146-os biztonsági javításról (MS03-039) a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak

Fájlinformációk
A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.



Dátum Idő Verzió Méret Fájlnév
-----------------------------------------------------------
2003. júl. 5. 17:15 5.0.2195.6769 944 912 Ole32.dll
2003. júl. 5. 17:15 5.0.2195.6753 432 400 Rpcrt4.dll
2003. júl. 5. 17:15 5.0.2195.6769 188 688 Rpcss.dll
A következő beállításkulcs megtekintésével ellenőrizheti a biztonsági javítás által telepített fájlokat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
A Microsoft közzétett egy támogatott gyorsjavítást, de az csak a jelen cikkben ismertetett probléma megoldására szolgál. Csak azokon a rendszereken telepítse a gyorsjavítást, amelyeken találkozott a problémával.

A probléma megoldásához lépjen kapcsolatba a Microsoft terméktámogatási szolgálatával a gyorsjavítás beszerzése érdekében. A Microsoft terméktámogatási szolgálatának telefonszámait és a támogatási díjakra vonatkozó információkat a Microsoft következő webhelyén találja: Megjegyzés: Bizonyos esetekben – ha a Microsoft támogatási szakembere megállapítja, hogy egy adott frissítés megoldja a szóban forgó problémát – a telefonos támogatásért felszámított díjak elengedhetők. A szokásos támogatási díjak terhelik a tanácsadó szolgálatnak feltett további kérdéseket, amennyiben azok nem kapcsolatosak a szóban forgó frissítéssel.

Windows NT 4.0 (minden verzió)

Letöltési információ
A következő fájlok letölthetők a Microsoft letöltőközpontjából:


Windows NT 4.0 Server: Windows NT 4.0 Server, Terminal Server Edition: Kiadás dátuma: 2003. július 16.

A Microsoft terméktámogatási fájljainak letöltéséről a Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft ellenőrizte a fájl vírusmentességét. A Microsoft a fájl ellenőrzésére a kiadás napján rendelkezésre álló legfrissebb vírusfigyelő szoftvert használja. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.
Előfeltételek
A frissítéshez Windows NT 4.0 Service Pack 6a (SP6a) vagy Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6) szervizcsomag szükséges.

Megjegyzés: Ez a biztonsági javítás a Windows NT 4.0 Workstation rendszerben telepíthető. A Microsoft azonban már nem támogatja ezt a verziót a Microsoft Lifecycle Support (termékéletciklus-támogatás) irányelveinek megfelelően. Ezt a javítást Windows NT 4.0 Workstation rendszeren nem tesztelték. A Microsoft Lifecycle Support irányelveiről a Microsoft következő webhelyén tájékozódhat: A Microsoft Tudásbázis kapcsolódó cikke:
152734 A Windows NT 4.0 rendszer legújabb szervizcsomagjának beszerzése
Telepítési információ
Ez a biztonsági javítás a következő telepítési kapcsolók használatát támogatja:
  • /y: Eltávolítás (csak a /m vagy a /q kapcsolóval használható).
  • /f: A programok bezárásának kikényszerítése leállításkor.
  • /n: Ne hozzon létre eltávolítási mappát.
  • /z: A frissítés befejezésekor ne indítsa újra a számítógépet.
  • /q: Csendes vagy felügyelet nélküli mód használata felhasználói felület nélkül (felülbírálja a /m kapcsolót).
  • /m: Felügyelet nélküli mód használata a felhasználói felület megjelenítése mellett.
  • /l: A telepített gyorsjavítások felsorolása
  • /x: A fájlok kicsomagolása a telepítő futtatása nélkül
A Microsoft kiadott egy eszközt, amelyet a hálózati rendszergazdák az ezzel a biztonsági javítással nem rendelkező rendszerek jelenlétének vizsgálatára használhatnak hálózatukban.
Az eszközről a Microsoft Tudásbázis következő cikkében tájékozódhat:
827363 A 823980-as (MS03-026) és a 824146-os (MS03-039) számú biztonsági javítást nem tartalmazó gazdaszámítógépek azonosítása a KB 824146 keresőeszközzel

A biztonsági javítás telepítését a Microsoft Baseline Security Analyzer (MBSA) használatával is ellenőrizheti, ha a számítógépen lévő fájlok verzióit összehasonlítja a „Fájlinformáció” című szakaszban lévő fájlok listájával, vagy ha ellenőrzi a következő beállításkulcs meglétét:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
A Microsoft Baseline Security Analyzer (MBSA) programról a Microsoft Tudásbázis következő cikkében tájékozódhat:
320454 Megjelent a Microsoft Baseline Security Analyzer (MBSA) 1.2.1-es verziója
Információ a központi telepítéshez
A javítás felhasználói beavatkozás nélküli telepítéséhez a következő parancsot használja:
hun_Q823980i /q
A biztonsági javítás újraindítás nélküli telepítéséhez a következő parancsot használja:
Q823980i /z
Megjegyzés: Ezeket a kapcsolókat egy parancson belül együtt is megadhatja.

A biztonsági javítás Microsoft szoftverfrissítési szolgáltatások segítségével történő központi telepítéséről a következő Microsoft webhelyen tájékozódhat:
Újraindítás szükségessége
A biztonsági javítás telepítése után újra kell indítani a számítógépet.
Eltávolítási információ
A biztonsági javítás eltávolításához használja a Vezérlőpult Programok telepítése és törlése segédprogramját.

A rendszergazdák a biztonsági javítás eltávolításához a Spuninst.exe segédprogramot is használhatják. A Spuninst.exe segédprogram a %Windir%\$NTUninstallKB823980$\Spuninst mappában található. A segédprogram a következő telepítési kapcsolókat támogatja:
  • /?: A telepítési kapcsolók listájának megjelenítése
  • /u: Felügyelet nélküli üzemmód használata
  • /f: A számítógép leállítása érdekében más programok bezárásának kényszerítése
  • /z: A számítógép újraindításának kihagyása a telepítés befejeztével
  • /q: Csendes üzemmód használata (nincs felhasználói beavatkozás)
Információ a biztonsági javítások lecseréléséről
Windows NT 4.0-alapú rendszereken ez a biztonsági javítás lecseréli a Microsoft Security Bulletin MS01-048-as cikkében közzétett biztonsági javítást.

Ezt a javítást a 824146-os számú (MS03-039) javítás cseréli le.
A 824146-os biztonsági javításról (MS03-039) a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

824146 MS03-039: Az RPCSS szolgáltatás puffertúlcsordulása rosszindulatú programok végrehajtására adhat lehetőséget a támadóknak

Fájlinformációk
A javítás angol verziójában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformációk megtekintése során a dátumok és időpontok helyi időre konvertálódnak. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.


Windows NT 4.0 Server:

Dátum Idő Verzió Méret Fájlnév
--------------------------------------------------------------
2003. júl. 5. 05:26:00 4.0.1381.7224 701 200 Ole32.dll
2003. júl. 5. 05:26:00 4.0.1381.7219 345 872 Rpcrt4.dll
2003. júl. 5. 05:26:00 4.0.1381.7224 107 280 Rpcss.exe
Windows NT 4.0 Server, Terminal Server Edition:

Dátum Idő Verzió Méret Fájlnév
--------------------------------------------------------------
2003. júl. 7. 03:29:00 4.0.1381.33549 701 712 Ole32.dll
2003. júl. 7. 03:29:00 4.0.1381.33474 345 360 Rpcrt4.dll
2003. júl. 7. 03:29:00 4.0.1381.33549 109 328 Rpcss.exe
A biztonsági javítás telepítésének ellenőrzéséhez győződjön meg arról, hogy a táblázatban szereplő összes fájl megtalálható a számítógépen.

Kerülő megoldás

A Microsoft az javasolja, hogy a biztonsági javítást a lehető legkorábban telepítse, de addig is sokféle módon megakadályozhatja a biztonsági rés kihasználását.

Ezek a kerülő megoldások átmeneti intézkedések – csak a támadási lehetőség blokkolására szolgálnak, a tényleges biztonsági rést nem javítják ki.

A következő részekben olyan információkat talál, melyek segítenek a számítógép elleni támadások kivédésében. E szakaszok mindegyike a használható megoldásokat ismerteti a számítógép konfigurációjától és a szükséges szolgáltatási szinttől függően.
  • Az érintett számítógépeken blokkolja a 135-ös, 137-es, 138-as és 445-ös UDP-portokat, valamint a 135-ös, 139-es, 445-ös és 593-as TCP-portokat a tűzfalon, ezután tiltsa le azokat a COM internetes szolgáltatásokat (CIS) és HTTP-n keresztüli RPC szolgáltatásokat, amelyek a 80-as és 443-as portokat figyelik. Ezek a portok távoli számítógéppel létrehozott RPC-kapcsolat kezdeményezésére szolgálnak. A portok blokkolása a tűzfalon megakadályozza, hogy a tűzfal mögötti rendszereket a biztonsági rések kihasználásával megtámadják. Blokkolnia kell továbbá a távoli számítógép egyéb, speciálisan konfigurált RPC-portjait is.

    Ha engedélyezve van, a HTTP-n keresztüli CIS és RPC lehetővé teszi a DCOM-hívások számára, hogy a 80-as TCP-porton keresztül működjenek (valamint a 443-as porton keresztül Windows XP és Windows Server 2003 esetén). Győződjön meg arról, hogy a HTTP-n keresztüli CIS és RPC minden érintett számítógépen le van tiltva.

    A CIS letiltásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    825819 A COM internetes szolgáltatások (CIS) és a HTTP-n keresztüli RPC proxytámogatás eltávolítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    A HTTP-n keresztüli RPC szolgáltatásról a Microsoft következő webhelyén talál további információt: Elképzelhető, hogy a felhasználók az RPC szolgáltatást használó protokollokat vagy szolgáltatásokat konfiguráltak, amelyek szintén elérhetők lehetnek az internetről. A rendszergazdáknak tanácsos megvizsgálni az internetről elérhető RPC-portokat, és a tűzfalon blokkolni azokat, vagy azonnal telepíteni a javítást.
  • Az érintett számítógépeken az Internetkapcsolat tűzfala szolgáltatás használatával tiltsa le a COM internetes szolgáltatást (CIS) és a HTTP-n keresztüli RPC szolgáltatást, amelyek a 80-as és 443-as portokat figyelik. Amennyiben Windows XP vagy Windows Server 2003 rendszerben az Internetkapcsolat tűzfala szolgáltatást használja az internetkapcsolat védelmére, a szolgáltatás alapértelmezés szerint blokkolja az internetről érkező bejövő RPC-adatforgalmat. Győződjön meg arról, hogy a HTTP-n keresztüli CIS és RPC minden érintett számítógépen le van tiltva.
    A CIS letiltásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    825819 A COM internet-szolgáltatások (CIS) és a HTTP-n keresztüli RPC proxytámogatás eltávolítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    A HTTP-n keresztüli RPC szolgáltatásról a Microsoft következő webhelyén tájékozódhat:
  • Az érintett portokat az IPSEC szűrővel blokkolja, és tiltsa le a COM internetes szolgáltatást (CIS), valamint a HTTP-n keresztüli RPC szolgáltatást, amelyek a 80-as és 443-as portokat figyelik. Windows 2000 rendszert futtató számítógépeken az IPSec (Internet Protocol Security) segítségével biztonságossá teheti a hálózati kommunikációt.
    További információt az IPSec protokollról és a szűrők alkalmazásáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    313190 Útmutató: IPSec IP-szűrőlisták használata Windows 2000 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    813878 Hálózati protokollok és portok blokkolása az IPSec használatával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    Győződjön meg arról, hogy a HTTP-n keresztüli CIS és RPC minden érintett számítógépen le van tiltva. A CIS letiltásáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    825819 A COM internetes szolgáltatások (CIS) és a HTTP-n keresztüli RPC proxytámogatás eltávolítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
  • Tiltsa le a DCOM szolgáltatást az összes érintett számítógépen: Ha a számítógép egy hálózat része, a DCOM protokoll lehetővé teszi, hogy a számítógépen lévő COM-objektumok más gépeken található COM-objektumokkal kommunikáljanak.

    A biztonsági rés elleni védekezésül letilthatja a DCOM szolgáltatást egy bizonyos számítógépnél, ezzel azonban meggátol minden kommunikációt az adott számítógépen és a többi gépen lévő objektumok között. Amennyiben egy távoli számítógépen tiltja le a DCOM-ot, ezután nem érheti el azt távolról a DCOM újraengedélyezéséhez. A DCOM újbóli engedélyezéséhez fizikai hozzáféréssel kell rendelkeznie a számítógéphez.
    A DCOM letiltásáról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
    825750 A DCOM támogatásának letiltása Windows rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
    Megjegyzés: Windows 2000 esetén a Microsoft Tudásbázis 825750 számú cikkében a DCOM letiltására leírt módszerek csak a Windows 2000 Service Pack 3 vagy későbbi szervizcsomagot tartalmazó számítógépeken működnek. A Service Pack 2 vagy korábbi szervizcsomagot tartalmazó rendszereket újabb szervizcsomagra kell frissíteni, vagy a kerülő megoldások egyikét kell használni.

Állapot

A Microsoft megerősítette, hogy ez a hiba bizonyos fokú biztonsági kockázatot jelent a cikk elején felsorolt Microsoft-termékekben.

További információ

A biztonsági résről a Microsoft következő webhelyén tájékozódhat:Az ügyfelek és kiszolgálók RPC szolgáltatásának biztonságossá tételéről a Microsoft következő webhelyén tájékozódhat: Az RPC szolgáltatás által használt portokról a Microsoft következő webhelyén tájékozódhat További információt a biztonsági javítás által kijavított biztonsági rést kihasználó Blaster féregvírusról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
826955 Vírusriasztás: a Blaster féreg és variánsai

További információt a biztonsági javítás által kijavított biztonsági rést kihasználó Nachi féregvírusról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
826234 Vírusriasztás: a Nachi féreg

További információt a Windows 2000 Datacenter Server rendszerhez készült gyorsjavítás beszerzéséről a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
265173 A Datacenter program és a Windows 2000 Datacenter Server termék (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Tulajdonságok

Cikkazonosító: 823980 - Utolsó ellenőrzés: 2009. jún. 16. - Verziószám: 1

Visszajelzés