MS01-037: Errore di autenticazione nel servizio SMTP può consentire l'inoltro della posta

Questo articolo è stato precedentemente pubblicato con il codice di riferimento I302755
Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Sintomi
Esiste un problema di vulnerabilità nel servizio SMTP di Windows 2000 a causa del quale un utente non autorizzato potrebbe inoltrare messaggi di posta elettronica utilizzando un server Windows 2000. Questo problema di protezione può consentire a un hacker di nascondere il punto di origine di un messaggio di posta elettronica o impegnare le risorse del server per l'invio di grandi quantità di messaggi. Il problema di vulnerabilità è soggetto ai seguenti vincoli:
  • Può avere effetto solo sui server che eseguono il servizio di posta originale di Windows 2000. I server di posta che eseguono Microsoft Exchange (anche su Windows 2000) non sono soggetti a questo problema di protezione.
  • Anche i computer con installato il servizio di posta originale di Windows 2000 sono soggetti a questo problema solo se sono configurati come computer autonomi anziché come membri di un dominio.
  • L'uso appropriato di un firewall può impedire agli utenti di Internet di sfruttare questo problema di vulnerabilità.
Cause
Il problema è causato da un errore di autenticazione del servizio SMTP che viene installato con Microsoft Internet Information Services (IIS). Se il server è configurato come computer autonomo anziché come membro di un dominio, un utente non autorizzato potrebbe autenticarsi e utilizzare il computer per l'inoltro della posta.
Risoluzione
Per risolvere il problema procurarsi la correzione rapida a cui viene fatto riferimento in questa sezione oppure richiedere Windows 2000 Security Rollup Package 1 (SRP1). Per ulteriori informazioni su SRP1, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002
Microsoft ha messo attualmente a disposizione una correzione destinata esclusivamente alla correzione del problema descritto in questo articolo, che dovrà quindi essere utilizzata solo per i computer suscettibili di un'aggressione da parte di utenti malintenzionati. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Fare riferimento a Microsoft Security Bulletin per informazioni su come eseguire questo accertamento (informazioni in lingua inglese). È possibile che la correzione d'errore verrà sottoposta ad altre verifiche in momenti successivi, allo scopo di migliorare ulteriormente la qualità del prodotto. Se il computer è a rischio, si consiglia di applicare la correzione d'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del Service Pack di Windows 2000 contenente tale correzione.

Per risolvere subito il problema, scaricare la correzione come indicato di seguito oppure contattare il Servizio Supporto Tecnico Microsoft. Per un elenco completo dei servizi di supporto Microsoft e informazioni sui costi di assistenza, visitare il seguente sito Web:

NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Clienti potrebbero essere annullate qualora un addetto del Supporto tecnico Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi dell'assistenza verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Il seguente file è disponibile per il download dall'Area download Microsoft (informazioni in lingua inglese):
Data di rilascio: 5 luglio 2001

Per ulteriori informazioni sul download dei file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):
119591 How to Obtain Microsoft Support Files from Online Services
Per il rilevamento di eventuali virus nel file, Microsoft ha utilizzato il software antivirus più recente disponibile alla data di pubblicazione. Dopo la pubblicazione, il file viene salvato in server protetti che impediscono modifiche non autorizzate.

La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file (o successivi):
   Data        Ora     Versione       Dimensione  Nome file   ----------------------------------------------------------   25/06/2001  20.13   5.0.2195.3712  320.784     Aqueue.dll   25/06/2001  20.13   5.0.2195.3712   66.832     Mailmsg.dll   25/06/2001  20.13   5.0.2195.3649   38.160     Ntfsdrv.dll   25/06/2001  20.13   5.0.2195.3779  434.448     Smtpsvc.dll 

Status
Microsoft ha confermato che questo problema potrebbe comportare rischi di protezione in Microsoft Windows 2000.
Informazioni
Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): Per ulteriori informazioni sulle modalità per ottenere la correzione rapida per Windows 2000 Datacenter Server, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):
265173 Datacenter Program and Windows 2000 Datacenter Server Product
Per ulteriori informazioni sull'installazione di un gruppo di correzioni rapide con un solo riavvio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (gli articoli con prefisso "Q" contengono informazioni in inglese):
296861 Use QChain.exe to Install Multiple Hotfixes with One Reboot
security_patch kbWin2000srp1
Proprietà

ID articolo: 302755 - Ultima revisione: 01/23/2014 16:13:07 - Revisione: 5.0

  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbsecvulnerability kbtool kbqfe kbwin2000sp3fix kbenv kbsecurity kbsechack kbhotfixserver KB302755
Feedback