MS03-007: Ongecontroleerde buffer in Windows-onderdeel kan ernstige bedreiging voor webserver vormen

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Microsoft bracht dit artikel oorspronkelijk uit op 17 maart 2003. Microsoft wist op dat moment van het bestaan van openbare aanvallen op Windows 2000-servers waarop IIS 5.0 wordt uitgevoerd. De zwakke plek was in dit geval WebDAV, hoewel het onderliggende beveiligingslek zich bevond in Ntdll.dll, een basisonderdeel van het besturingssysteem. Microsoft bracht kort daarna een patch uit om Windows 2000-klanten te beschermen en ging ondertussen door met het onderzoek naar het onderliggende beveiligingslek. Ook in Windows NT 4.0 is Ntdll.dll het onderliggende beveiligingslek, maar de aanval op Windows NT 4.0 had geen effect omdat WebDAV niet wordt ondersteund. Microsoft heeft nu patches uitgebracht voor Windows NT 4.0. Ook heeft Microsoft onlangs hetzelfde beveiligingslek ontdekt in Windows XP. Net als in Windows NT 4.0 wordt IIS (Internet Information Services) echter niet standaard in Windows XP geïnstalleerd. Op 28 mei 2003 heeft Microsoft een patch uitgebracht voor Windows XP en Windows XP Service Pack 1.

Waarschuwing Als u Windows 2000 met Service Pack 2 (SP2) gebruikt, moet u de versie van het bestand Ntoskrnl.exe op uw computer controleren voordat u deze patch installeert. Ga hiervoor als volgt te werk:
 1. Open de map %Windir%\System32.
 2. Klik met de rechtermuisknop op het bestand Ntoskrnl.exe, kies Eigenschappen en open het tabblad Versie.
Versies 5.0.2195.4797 tot en met 5.0.2195.4928 van Ntoskrnl.exe zijn niet compatibel met deze patch. Deze versies werden alleen gedistribueerd met hotfixes van Microsoft Product Support Services. Als u de patch uit dit artikel installeert op een computer met een versie van Ntoskrnl.exe tussen 5.0.2195.4797 en 5.0.2195.4928, loopt de computer na het opnieuw opstarten vast met het bericht 'Stop 0x00000071'. Als dit gebeurt, moet u de Windows-installatie herstellen met behulp van de herstelconsole van Windows 2000 en de reservekopie van het bestand Ntdll.dll (in de map Winnt\$NTUninstallQ815021$).

Als u een computer wilt bijwerken waarop een versie van Ntoskrnl.exe is geïnstalleerd die is gedistribueerd door Microsoft Product Support Services, moet u eerst contact opnemen met Microsoft Product Support Services. Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website: U kunt ook eerst Service Pack 3 (SP3) voor Windows 2000 installeren voordat u deze patch toepast.
Symptomen
Windows 2000 biedt ondersteuning voor het protocol WebDAV (World Wide Web Distributed Authoring and Versioning). WebDAV, zoals omschreven in RFC 2518, bestaat uit een set extensies van HTTP (Hypertext Transfer Protocol) die een standaard vormen voor het bewerken en beheren van bestanden tussen computers op internet. Bezoek de volgende RFC-website om RFC 2518 te bekijken: Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.

Er is een beveiligingslek geconstateerd in een Windows-onderdeel dat wordt gebruikt door WebDAV. De oorzaak van het lek is een ongecontroleerde buffer in het onderdeel.

Een aanvaller kan gebruikmaken van dit beveiligingslek door een HTTP-verzoek met een speciale indeling te maken en dit verzoek te versturen naar een computer met Microsoft Internet Information Services (IIS). Het verzoek kan tot gevolg hebben dat de server uitvalt of dat bepaalde code wordt uitgevoerd op de server. Deze code wordt uitgevoerd in de beveiligde context van de IIS-service. (De service IIS wordt standaard uitgevoerd in de context LocalSystem.)

Hoewel Microsoft een patch heeft ontwikkeld voor dit probleem en u adviseert deze patch onmiddellijk te installeren, zijn er andere hulpmiddelen en preventieve maatregelen beschikbaar waarmee u de beveiliging van uw computer kunt herstellen terwijl u de invloed en compatibiliteit van de patch analyseert. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
816930 MS03-007: Het beveiligingslek omzeilen dat wordt beschreven in artikel 815021 van de Microsoft Knowledge Base

Beperkende factoren

 • De standaardconfiguratie van URLScan zorgt ervoor dat beveiligingslek niet kan worden misbruikt door aanvallers. URLScan maakt deel uit van het hulpprogramma IIS Lockdown. Als u meer informatie wilt over URLScan, gaat u naar de volgende Microsoft-website: Als u meer informatie wilt over het hulpprogramma IIS Lockdown, gaat u naar de volgende Microsoft-website:
 • Het beveiligingslek kan alleen extern worden misbruikt als een aanvaller een websessie tot stand kan brengen met de server waarop de beveiliging niet optimaal is.
Oplossing

Informatie over het service pack

Windows 2000

U lost dit probleem op door het meest recente service pack voor Microsoft Windows 2000 op te halen. In het volgende Microsoft Knowledge Base-artikel vindt u meer informatie:
260910 Het meest recente Windows 2000 Service Pack ophalen

Informatie over de beveiligingspatch

Windows XP

Downloaden
U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:

Windows XP (alle talen)
Windows XP 64-bits editieReleasedatum: 28.05.03

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand beschikbaar werd gesteld. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.
Vereisten

Voor deze patch is de officiële versie van Windows XP of Windows XP Service Pack 1 (SP1) vereist. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
322389 Het meest recente Windows XP Service Pack ophalen
Installatiegegevens

Deze patch kan worden geïnstalleerd met de volgende Setup-schakelopties:
 • /?: De lijst met schakelopties voor de installatie weergeven.
 • /u: De modus zonder toezicht gebruiken.
 • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
 • /n: Geen reservekopie maken van bestanden die worden verwijderd.
 • /o: OEM-bestanden zonder waarschuwing overschrijven.
 • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
 • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
 • /l: Geïnstalleerde hotfixes weergeven.
 • /x: De bestanden uitpakken zonder Setup uit te voeren.
Als u bijvoorbeeld de patch zonder tussenkomst van de gebruiker wilt installeren, en wilt aangeven dat de computer niet opnieuw moet worden opgestart, gebruikt u de volgende opdrachtregel:
q815021_wxp_sp2_x86_enu /u /q /z
U kunt controleren of de patch op uw computer is geïnstalleerd door naar de volgende registersleutel te zoeken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Verwijderen

U kunt deze update verwijderen met de optie Software in het Configuratiescherm.

Systeembeheerders kunnen deze patch verwijderen met het hulpprogramma Spunist.exe. Spuninst.exe bevindt zich in de map %Windir%\$NTUninstallQ815021$\Spuninst en kan worden gestart met de volgende schakelopties:
 • /?: De lijst met schakelopties voor de installatie weergeven.
 • /u: De modus zonder toezicht gebruiken.
 • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
 • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
 • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
Computer opnieuw opstarten

De computer moet na het toepassen van deze patch opnieuw worden opgestart. De reden hiervoor is dat Ntdll.dll een binair bestand van het kernsysteem is dat wordt geladen tijdens het opstarten van de computer. De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

Windows XP
  Datum    Tijd  Versie     Grootte Pad en bestandsnaam  ---------------------------------------------------------------------------------  02-mei-2003 15:03 5.1.2600.114  651.264 %Windir%\System32\Ntdll.dll pre-SP1  01-mei-2003 20:56 5.1.2600.1217 654.336 %Windir%\System32\Ntdll.dll with SP1

Windows XP 64-bits editie
  Datum    Tijd  Versie     Grootte  Pad en bestandsnaam  ------------------------------------------------------------------------------------  02-mei-2003 15:03 5.1.2600.114  1.498.112 %WinDir%\System32\Ntdll.dll  pre-SP1  01-mei-2003 14:57 5.1.2600.114   654.336 %WinDir%\System32\Wntdll.dll pre-SP1  01-mei-2003 20:56 5.1.2600.1217 1.508.864 %WinDir%\System32\Ntdll.dll  with SP1  30-apr-2003 21:43 5.1.2600.1217  657.408 %WinDir%\System32\Wntdll.dll with SP1
U kunt ook de volgende registersleutel bekijken om te controleren welke bestanden met deze patch zijn geïnstalleerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Downloaden

U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:

Alle talen behalve NEC JapansNEC Japans Releasedatum: 17.03.03

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand beschikbaar werd gesteld. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen tegengaan. Vereisten

Deze patch vereist Windows 2000 Service Pack 2 (SP2) of Windows 2000 Service Pack 3 (SP3). Als u meer informatie wilt over het ophalen van het laatste service pack, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
260910 Het meest recente Windows 2000 Service Pack ophalen
Opmerking Als u Windows 2000 met Service Pack 2 (SP2) gebruikt, moet u de waarschuwing aan het begin van dit artikel lezen voordat u deze patch toepast.

Installatiegegevens

Deze patch kan worden geïnstalleerd met de volgende Setup-schakelopties:
 • /?: De lijst met schakelopties voor de installatie weergeven.
 • /u: De modus zonder toezicht gebruiken.
 • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
 • /n: Geen reservekopie maken van bestanden die worden verwijderd.
 • /o: OEM-bestanden zonder waarschuwing overschrijven.
 • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
 • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
 • /l: Geïnstalleerde hotfixes weergeven.
 • /x: De bestanden uitpakken zonder Setup uit te voeren.
Als u bijvoorbeeld de patch zonder tussenkomst van de gebruiker wilt installeren en wilt aangeven dat de computer niet opnieuw moet worden opgestart, gebruikt u de volgende opdrachtregel:
q815021_w2k_sp4_x86_en /u /q /z
U kunt controleren of de patch op uw computer geïnstalleerd is door naar de volgende registersleutel te zoeken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Verwijderen

U kunt deze patch verwijderen door met de optie Software in het Configuratiescherm het onderdeel 'Windows 2000 Hotfix (SP4) Q815021' te verwijderen.

Systeembeheerders kunnen deze patch verwijderen met het hulpprogramma Spunist.exe. Spuninst.exe bevindt zich in de map %Windir%\$NTUninstallQ815021$\Spuninst en kan worden gestart met de volgende schakelopties:
 • /?: De lijst met schakelopties voor de installatie weergeven.
 • /u: De modus zonder toezicht gebruiken.
 • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
 • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
 • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
Computer opnieuw opstarten

De computer moet na het toepassen van deze patch opnieuw worden opgestart. De reden hiervoor is dat Ntdll.dll een binair bestand van het kernsysteem is dat wordt geladen tijdens het opstarten van de computer. De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

  Datum    Tijd  Versie     Grootte Pad en bestandsnaam  -----------------------------------------------------------------------  15-mrt-2003 01:23 5.0.2195.6685 476.944 %Windir%\System32\Ntdll.dll

U kunt ook de volgende registersleutel bekijken om te controleren welke bestanden met deze patch zijn geïnstalleerd:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (alle versies)

Microsoft Internet Information Server (IIS) is niet bedoeld voor gebruik op Windows NT Server 4.0 Terminal Server Edition en wordt om die reden niet ondersteund. Klanten die IIS 4.0 uitvoeren op Windows NT Server 4.0 Terminal Server Edition, wordt aangeraden hun systemen te beveiligen door IIS 4.0 te verwijderen.

Downloaden

U kunt de volgende bestanden downloaden van het Microsoft Downloadcentrum:

Windows NT 4.0:

Alle talen met uitzondering van NEC Japans en Chinees (Hong Kong):
Windows NT Server 4.0, Terminal Server Edition:

Releasedatum: 23.04.03

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand beschikbaar werd gesteld. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Vereisten

Voor deze patch is Windows NT 4.0 Service Pack 6a (SP6a) of Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6) vereist. Voor meer informatie klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
152734 De meest recente Windows NT 4.0 Service Pack ophalen


Installatiegegevens

Deze patch kan worden geïnstalleerd met de volgende Setup-schakelopties:
 • /y: Verwijderen (alleen met /m of /q).
 • /f: Programma's geforceerd afsluiten tijdens het uitschakelen van de computer.
 • /n: Geen map Uninstall maken.
 • /z: Niet opnieuw opstarten nadat update is voltooid.
 • /q: De stille modus of de modus zonder toezicht gebruiken zonder gebruikersinterface. (Deze schakeloptie is een superset van /m .)
 • /m: De modus zonder toezicht gebruiken met gebruikersinterface.
 • /l: Geïnstalleerde hotfixes weergeven.
 • /x: De bestanden uitpakken zonder Setup uit te voeren.
U kunt controleren of de patch op uw computer geïnstalleerd is door naar de volgende registersleutel te zoeken:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Als u bijvoorbeeld de patch zonder tussenkomst van de gebruiker wilt installeren en wilt aangeven dat de computer niet opnieuw moet worden opgestart, gebruikt u de volgende opdrachtregel:
q815021i /q /z
Verwijderen

U kunt deze patch verwijderen met het onderdeel Software in het Configuratiescherm.

Systeembeheerders kunnen deze patch verwijderen met het hulpprogramma Spunist.exe. Spuninst.exe bevindt zich in de map %Windir%\$NTUninstallQ815021$\Spuninst en kan worden gestart met de volgende schakelopties:
 • /?: De lijst met schakelopties voor de installatie weergeven.
 • /u: De modus zonder toezicht gebruiken.
 • /f: Andere programma's geforceerd afsluiten wanneer de computer wordt afgesloten.
 • /z: De computer niet opnieuw opstarten wanneer de installatie is voltooid.
 • /q: Stille modus gebruiken (geen tussenkomst van de gebruiker).
Computer opnieuw opstarten

De computer moet na het toepassen van deze patch opnieuw worden opgestart. De reden hiervoor is dat Ntdll.dll een binair bestand van het kernsysteem is dat wordt geladen tijdens het opstarten van de computer. De computer is kwetsbaar totdat u de computer opnieuw hebt opgestart.

Bestandsgegevens

De Engelse versie van deze correctie heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere kenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.

  Datum    Tijd  Versie     Grootte Pad en Bestandsnaam     Besturingssysteem  -------------------------------------------------------------------------------------------  24-mrt-2003 10:38 4.0.1381.7212  367.376 %WinDir%\System32\Ntdll.dll Windows NT 4.0  24-mrt-2003 07:12 4.0.1381.33546 369.936 %WinDir%\System32\Ntdll.dll TSE

Status
Microsoft heeft bevestigd dat dit probleem een beveiligingslek kan veroorzaken in de Microsoft-producten die aan het begin van dit artikel worden vermeld.

Alleen Windows 2000

In Windows 2000 Service Pack 4 werd voor het eerst een correctie aangeboden voor dit probleem.
Meer informatie
Als u meer informatie wilt over dit beveiligingslek, gaat u naar de volgende Microsoft-website:

Als u een computer met meerdere processors hebt, moet u het hulpprogramma Microsoft Baseline Security Analyzer (MBSA) uitvoeren met de schakeloptie /nosum om checksum-controles uit te schakelen. Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
320454 Nu beschikbaar: versie 1.1.1 van Microsoft Baseline Security Analyzer (MBSA)
security_patch Session5_initialization_failed Stop 0x71
Eigenschappen

Artikel-id: 815021 - Laatst bijgewerkt: 12/08/2015 02:05:01 - Revisie: 14.1

Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows® 2000 Server, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0, Terminal Server Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows XP Professional, Microsoft Windows XP Professional x64 Edition

 • kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021
Feedback