MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ

Обновление технических сведений


Примечание. Этот бюллетень (MS03-039) был заменен бюллетенем по безопасности Microsoft MS04-012.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
828741 MS04-012: Накопительное обновление для Microsoft RPC/DCOM

  • 12 сентября 2003 г.
    • В раздел «Сведения о загрузке» для Windows XP было добавлено примечание о том, что обновления для системы безопасности для 64-разрядной версии Windows XP 2003 года выпуска и 64-разрядной версии Windows Server 2003 совпадают.
    • В раздел «Сведения о файлах» для Windows XP была добавлена информация о файлах для 64-разрядных версий Windows XP и Windows XP без пакета обновления 1 (SP1).
    • В разделы «Сведения о файлах» были добавлены примечания о том, что при встраивании или добавлении этого исправления к установочным файлам Windows администратором или поставщиком вычислительной техники не создается раздел реестра, соответствующий этому обновлению для системы безопасности.
    • В раздел «Сведения об установке» для систем Windows Server 2003 и Windows XP было добавлено примечание о том, что программа MBSA версии 1.1.1 ошибочно указывает в отчете, что исправление 824146 не установлено, если на компьютерах под управлением Windows Server 2003 и 64-разрядной версии Windows XP 2003 года выпуска используются RTMQFE-версии файлов обновления для системы безопасности.
    • В разделы «Сведения о загрузке» и «Необходимые условия» для Windows 2000 была добавлена информация о том, что это обновление для системы безопасности можно устанавливать на компьютер под управлением Windows 2000 Datacenter Server с пакетами обновления 3 (SP3) и 4 (SP4).

Проблема

Протокол удаленного вызова процедур (RPC) используется операционной системой Windows. Он обеспечивает взаимодействие между процессами и позволяет программам, запущенным на одном компьютере, беспрепятственно получать доступ к службам на другом компьютере. Этот протокол создан на основе протокола OSF RPC, но имеет несколько дополнительных расширений специально для Microsoft.

Выявлены три слабых места в той части службы удаленного вызова процедур Windows (RPCSS), которая относится к инструкциям RPC по активации DCOM. Два из этих уязвимых мест могут позволить злоумышленнику запускать опасные программы, а третье – привести к отказу в обслуживании. Некорректная обработка неправильно сформированных сообщений может стать причиной изъянов безопасности. Эти слабые места создают угрозу для интерфейса модели DCOM в RPCSS. Данный интерфейс обрабатывает запросы активации объектов DCOM, которые отправлены клиентским компьютером на сервер.

Злонамеренный пользователь, используя эти слабые места, может запустить код с правами на доступ к локальной системе на пораженном компьютере или вызвать прекращение работы службы RPCSS. Затем этот злонамеренный пользователь может выполнить на компьютере любое действие, включая установку программ, просмотр, изменение и удаление данных или создание новых учетных записей с полными правами.

Чтобы воспользоваться этими уязвимыми местами, злоумышленник может создать исполняемую программу для отправки неправильных сообщений RPC, которые будут направляться на конечную службу RPCSS уязвимого сервера.

Факторы, снижающие опасность

  • Брандмауэры и стандартные параметры конфигурации брандмауэра, устанавливаемые по умолчанию, позволяют защитить сети от атак с удаленных компьютеров, поступающих из-за границ корпоративного периметра. Рекомендуется заблокировать все неиспользуемые порты. В результате большинство компьютеров, подключенных к Интернету, будут иметь минимальное количество уязвимых портов. Дополнительные сведения о портах, используемых RPC, см. на веб-узле корпорации Майкрософт:
Примечание. Корпорация Microsoft протестировала Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000, Windows XP и Windows Server 2003, чтобы определить, имеют ли они подобный тип уязвимости. Microsoft Windows Millennium Edition (Me) не содержит функций, связанных с этими уязвимыми местами. Более ранние версии Windows больше не поддерживаются и могут быть как подвержены опасности из-за этих типов уязвимости, так и не подвержены. Для получения дополнительных сведений о поддержке в течение жизненного цикла посетите следующий веб-узел корпорации Майкрософт: Примечание. Функции, связанные с этим типом уязвимости, также не включены в Microsoft Windows 95, Microsoft Windows 98 и во второе издание Microsoft Windows 98, даже если установлен DCOM.

Решение

Сведения об обновлениях для системы безопасности

Для получения дополнительных сведений выберите одну из следующих ссылок:

Windows Server 2003 (все версии)

Сведения о загрузке

Загрузите соответствующий файл с веб-узла центра загрузки Microsoft:


Windows Server 2003 Enterprise Edition; Windows Server 2003 Standard Edition; Windows Server 2003 Web Edition и Windows Server 2003 Datacenter Edition Windows Server 2003 Enterprise Edition (64-разрядная версия) и Windows Server 2003 Datacenter Edition (64-разрядная версия) Дата выпуска: 10 сентября 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Необходимые условия

Для установки обновления для системы безопасности требуется официальная версия Windows Server 2003.

Сведения об установке

При запуске программы установки обновления для системы безопасности можно использовать следующие параметры.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать резервные копии удаляемых файлов.
  • /o Заменять файлы ПВТ без вывода запроса.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
  • /l Отобразить список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Чтобы проверить, было ли обновление для системы безопасности установлено на компьютер, используйте средство сканирования KB 824146 (KB824146scan.exe) или Microsoft Baseline Security Analyzer (MBSA).
Дополнительные сведения о средстве сканирования KB824146scan.exe см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)

Дополнительные сведения о средстве MBSA см. в следующей статье базы знаний Майкрософт:

320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1

Примечание. Программа MBSA версии 1.1.1 составляет неверный отчет и сообщает, что исправление 824146 не установлено, если используются RTMQFE-версии файлов обновления для системы безопасности.

Правильность установки обновления для системы безопасности можно также проверить, убедившись в наличии следующего раздела реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Сведения о развертывании

Для установки обновления для системы безопасности без вмешательства пользователя служит следующая команда:
Windowsserver2003-kb824146-x86-rus /u /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
Windowsserver2003-kb824146-x86-rus /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле корпорации Майкрософт по адресу:

Необходимость перезагрузки

После установки обновления для системы безопасности необходимо перезагрузить компьютер.

Сведения об удалении

Для удаления этого обновления воспользуйтесь средством панели управления «Установка и удаление программ».

Кроме того, для удаления этого обновления системные администраторы могут использовать программу Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB824146$\Spuninst, и при ее запуске можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).

Сведения о замене обновлений для системы безопасности

Это обновление для системы безопасности заменяет обновление MS03-026 (823980).
Дополнительные сведения об обновлении MS03-026 (823980) см. в следующей статье базы знаний Майкрософт:
823980 MS03-026: Переполнение буфера RPC может допустить запуск кода

Сведения о файлах

Английская версия средства содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.


Windows Server 2003 Enterprise Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Web Edition и Windows Server 2003 Datacenter Edition

Дата Время Версия Размер Имя файла Папка
--------------------------------------------------------------
23-авг-2003 18:56 5.2.3790.80 1 183 744 Ole32.dll RTMGDR
23-авг-2003 18:56 5.2.3790.76 657 920 Rpcrt4.dll RTMGDR
23-авг-2003 18:56 5.2.3790.80 284 672 Rpcss.dll RTMGDR
23-авг-2003 18:48 5.2.3790.80 1 183 744 Ole32.dll RTMQFE
23-авг-2003 18:48 5.2.3790.76 658 432 Rpcrt4.dll RTMQFE
23-авг-2003 18:48 5.2.3790.80 285 184 Rpcss.dll RTMQFE
Windows Server 2003 Enterprise Edition (64-разрядная версия) и Windows Server 2003 Datacenter Edition (64-разрядная версия):

Дата Время Версия Размер Имя файла Платформа Папка
-------------------------------------------------------------------------
23-авг-2003 18:56 5.2.3790.80 3 551 744 Ole32.dll IA64 RTMGDR
23-авг-2003 18:56 5.2.3790.76 2 127 872 Rpcrt4.dll IA64 RTMGDR
23-авг-2003 18:56 5.2.3790.80 665 600 Rpcss.dll IA64 RTMGDR
23-авг-2003 18:56 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-авг-2003 18:56 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
23-авг-2003 18:48 5.2.3790.80 3 551 232 Ole32.dll IA64 RTMQFE
23-авг-2003 18:48 5.2.3790.76 2 128 384 Rpcrt4.dll IA64 RTMGDR
23-авг-2003 18:48 5.2.3790.80 666 624 Rpcss.dll IA64 RTMGDR
23-авг-2003 18:48 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-авг-2003 18:48 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
Примечание. При установке этого обновления для системы безопасности на компьютеры под управлением систем Windows Server 2003 и Windows XP (64-разрядная версия 2003) установщик проверяет, выполнялось ли обновление этих файлов при установке других обновлений корпорации Майкрософт. Если один из этих файлов уже обновлялся при установке другого обновления, на компьютер будут скопированы файлы RTMQFE, а в противном случае — файлы RTMGDR.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

824994 Общее описание содержимого обновлений для Windows Server 2003 и Windows XP с пакетом обновления 2 (SP2) (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Можно также убедиться, что обновление для системы безопасности установлено, проверив следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Примечание. Этот раздел реестра может создаваться неверно при встраивании или добавлении обновления для системы безопасности 824146 к установочным файлам Windows администратором или поставщиком вычислительной техники.

Windows XP (все версии)

Чтобы решить эту проблему, установите последний пакет обновления для Windows XP. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
811113 Список исправлений, включенных в состав пакета обновления 2 (SP2) для Windows XP

Сведения о загрузке

Загрузите соответствующий файл с веб-узла центра загрузки Microsoft:


Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition и Windows XP Media Center EditionWindows XP, 64-разрядная версия 2002Windows XP, 64-разрядная версия 2003Примечание. Версия этого обновления для системы безопасности Windows XP (64-разрядная версия 2003) совпадает с обновлением для системы безопасности Windows Server 2003.
Дата выпуска: 10 сентября 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Необходимые условия

Для установки обновления для системы безопасности требуется выпущенная версия Windows XP или Windows XP с пакетом обновления 1 (SP1). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
322389 Как получить последний пакет обновления для Windows XP
Сведения об установке
При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать резервные копии удаляемых файлов.
  • /o Заменять файлы ПВТ без вывода запроса.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
  • /l Отобразить список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Чтобы проверить, было ли обновление для системы безопасности установлено на компьютер, используйте средство сканирования KB 824146 (KB824146scan.exe) или Microsoft Baseline Security Analyzer (MBSA).
Дополнительные сведения о средстве сканирования KB824146scan.exe см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)

Дополнительные сведения о средстве MBSA см. в следующей статье базы знаний Майкрософт:

320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1

Примечание. Программа MBSA версии 1.1.1 составляет неверный отчет и сообщает, что обновление 824146 не установлено, если на компьютерах под управлением Windows XP (64-разрядная версия 2003) используются RTMQFE-версии файлов обновления для системы безопасности.

Правильность установки обновления для системы безопасности на компьютере можно также проверить, убедившись в наличии следующего раздела реестра:

Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
Windows XP с пакетом обновления 1 (SP1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146
Windows XP 64-разрядная версия 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Сведения о развертывании

Чтобы установить обновление для системы безопасности без вмешательства пользователя, введите следующую команду:
Windowsserver2003-kb824146-x86-rus /u /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
Windowsxp-kb824146-x86-rus /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле Майкрософт по адресу:

Необходимость перезагрузки

После установки обновления для системы безопасности необходимо перезагрузить компьютер.

Сведения об удалении

Для удаления обновления для системы безопасности воспользуйтесь средством панели управления «Установка и удаление программ».

Кроме того, для удаления этого обновления системные администраторы могут использовать программу Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB824146$\Spuninst, и при ее запуске можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).

Сведения о замене обновлений для системы безопасности

Это обновление для системы безопасности заменяет обновление MS03-026 (823980).
Дополнительные сведения об обновлении MS03-026 (823980) см. в следующей статье базы знаний Майкрософт:
823980 MS03-026: Переполнение буфера RPC может допустить запуск кода

Сведения о файлах

Английская версия исправления содержит версии файлов, указанные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.


Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition и Windows XP Media Center Edition:

Дата Время Версия Размер Имя файла
-------------------------------------------------------------------
25-авг-2003 22:29 5.1.2600.118 1 093 632 Ole32.dll (без SP1)
25-авг-2003 22:29 5.1.2600.109 439 296 Rpcrt4.dll (без SP1)
25-авг-2003 22:29 5.1.2600.118 204 288 Rpcss.dll (без SP1)
25-апр-2003 18:53 5.1.2600.1263 1 172 992 Ole32.dll (с SP1)
25-авг-2003 18:53 5.1.2600.1254 532 480 Rpcrt4.dll (с SP1)
25-авг-2003 18:53 5.1.2600.1263 260 608 Rpcss.dll (с SP1)
Windows XP (64-разрядная версия 2002):

Дата Время Версия Размер Имя файла Платформа
--------------------------------------------------------------------------
25-авг-2003 19:30 5.1.2600.118 4 195 840 Ole32.dll IA64 (без SP1)
25-авг-2003 19:30 5.1.2600.109 2 025 472 Rpcrt4.dll IA64 (без SP1)
25-авг-2003 19:30 5.1.2600.118 741 888 Rpcss.dll IA64 (без SP1)
20-авг-2003 18:16 5.1.2600.118 1 093 632 Wole32.dll x86 (без SP1)
02-янв-2003 23:06 5.1.2600.109 440 320 Wrpcrt4.dll x86 (без SP1)
27-авг-2003 18:12 5.1.2600.1263 4 296 192 Ole32.dll IA64 (с SP1)
27-авг-2003 18:12 5.1.2600.1254 2 298,880 Rpcrt4.dll IA64 (с SP1)
27-авг-2003 18:12 5.1.2600.1263 742 400 Rpcss.dll IA64 (с SP1)
27-авг-2003 17:27 5.1.2600.1263 1 172 992 Wole32.dll x86 (с SP1)
02-авг-2003 22:14 5.1.2600.1254 506 880 Wrpcrt4.dll x86 (с SP1)
Windows XP (64-разрядная версия 2003):

Дата Время Версия Размер Имя файла Платформа Папка
-------------------------------------------------------------------------
23-авг-2003 18:56 5.2.3790.80 3 551 744 Ole32.dll IA64 RTMGDR
23-авг-2003 18:56 5.2.3790.76 2 127 872 Rpcrt4.dll IA64 RTMGDR
23-авг-2003 18:56 5.2.3790.80 665 600 Rpcss.dll IA64 RTMGDR
23-авг-2003 18:56 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-авг-2003 18:56 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
23-авг-2003 18:48 5.2.3790.80 3 551 232 Ole32.dll IA64 RTMQFE
23-авг-2003 18:48 5.2.3790.76 2 128 384 Rpcrt4.dll IA64 RTMGDR
23-авг-2003 18:48 5.2.3790.80 666 624 Rpcss.dll IA64 RTMGDR
23-авг-2003 18:48 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-авг-2003 18:48 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
Примечания
  • При установке обновления для системы безопасности для Windows XP (64-разрядная версия 2003) установщик проверяет, выполнялось ли обновление этих файлов при установке других обновлений корпорации Майкрософт. Если один из этих файлов уже обновлялся при установке другого обновления, на компьютер будут скопированы файлы RTMQFE, а в противном случае — файлы RTMGDR.
    Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

    824994 Общее описание содержимого обновлений для Windows Server 2003 и Windows XP с пакетом обновления 2 (SP2) (эта ссылка может указывать на содержимое полностью или частично на английском языке)

  • Версии обновлений для системы безопасности для Windows XP и Windows XP (64-разрядная версия 2002) являются обновлением с двумя режимами. Пакеты двойного режима содержат файлы как для исходной версии Windows XP, так и для пакета обновления 1 (SP1) для Windows XP.
    Дополнительные сведения об обновлениях с двумя режимами см. в следующей статье базы знаний Майкрософт:
    328848 Описание обновлений с двумя режимами для Windows XP (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Можно также убедиться, что обновление для системы безопасности установлено, проверив следующие разделы реестра:

Для систем Windows XP Home Edition SP1, Windows XP Professional SP1, Windows XP (64-разрядная версия 2002) SP1, Windows XP Tablet PC Edition и Windows XP Media Center Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146\Filelist
Для систем Windows XP Home Edition, Windows XP Professional, Windows XP (64-разрядная версия2002):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146\Filelist
Для Windows XP (64-разрядная версия 2003):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Примечание. Этот раздел реестра может создаваться неверно при встраивании или добавлении обновления безопасности 824146 к установочным файлам Windows администратором или поставщиком вычислительной техники.
Для решения данной проблемы установите накопительный пакет обновления 1 для Windows 2000 с пакетом обновления 4 (SP4). Дополнительные сведения о том, как это сделать, см. в следующей статье базы знаний Майкрософт:
891861 Накопительный пакет обновлений 1 для Windows 2000 с пакетом обновлений 4 (SP4) и известные проблемы

Windows 2000

Сведения о загрузке

Загрузите следующий файл с веб-узла центра загрузки Microsoft:

Дата выпуска: 10 сентября 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.


Необходимые условия

Для установки этого обновления для системы безопасности на компьютер под управлением Windows 2000 Datacenter Server необходим пакет обновления 3 (SP3). Для установки обновления для системы безопасности на компьютеры под управлением других версий Windows 2000 требуется наличие пакета обновления 2 (SP2), 3 (SP3) или 4 (SP4).


Примечание. Жизненный цикл пакета обновления 2 (SP2) для Windows 2000 закончился, как сказано в упомянутом выше документе, поэтому корпорация Майкрософт не предоставляет обновления для системы безопасности этого продукта. Однако, исходя из характера одного из перечисленных слабых мест, а также с учетом того, что жизненный цикл продукта закончился совсем недавно и многие пользователи в настоящий момент используют пакет обновления 2 (SP2) для Windows 2000, корпорация Майкрософт приняла решение сделать исключение в данном конкретном случае.

Корпорация Майкрософт не собирается так же поступать с другими обнаруженными уязвимостями, но сохраняет за собой право в случае необходимости выпускать и открывать доступ к обновлениям для системы безопасности. Корпорация Майкрософт рекомендует пользователям, имеющим компьютеры с установленным пакетом обновления 2 (SP2) для Windows 2000, выполнить миграцию на поддерживаемые версии Windows, чтобы избежать угрозы безопасности в будущем. Дополнительные сведения о жизненном цикле продуктов Windows для настольных компьютеров см. на веб-узле Майкрософт по следующему адресу: Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
260910 Как получить последний пакет обновления для Windows 2000

Сведения об установке

При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки:
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать резервные копии удаляемых файлов.
  • /o Заменять файлы ПВТ без вывода запроса.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
  • /l Отобразить список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Чтобы проверить, было ли обновление для системы безопасности установлено на компьютер, используйте средство сканирования KB 824146 (KB824146scan.exe) или Microsoft Baseline Security Analyzer (MBSA).
Дополнительные сведения о средстве сканирования KB824146scan.exe см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)

Дополнительные сведения о средстве MBSA см. в следующей статье базы знаний Майкрософт:

320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1

Правильность установки обновления для системы безопасности на компьютере можно также проверить, убедившись в наличии следующего раздела реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146

Сведения о развертывании

Для установки обновления для системы безопасности без вмешательства пользователя служит следующая команда:
Windows2000-kb824146-x86-rus /u /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
Windows2000-kb824146-x86-rus /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле Майкрософт по адресу:

Необходимость перезагрузки

После установки обновления для системы безопасности необходимо перезагрузить компьютер.

Сведения об удалении

Для удаления обновления для системы безопасности воспользуйтесь средством панели управления «Установка и удаление программ».

Кроме того, для удаления этого обновления системные администраторы могут использовать программу Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB824146$\Spuninst, и при ее запуске можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).

Сведения о замене обновлений для системы безопасности

Это обновление для системы безопасности заменяет обновление MS03-026 (823980).
Дополнительные сведения об обновлении MS03-026 (823980) см. в следующей статье базы знаний Майкрософт:
823980 MS03-026: Переполнение буфера RPC может допустить запуск кода

Сведения о файлах

Английская версия исправления содержит версии файлов, указанные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.

Дата Время Версия Размер Имя файла
------------------------------------------------------
23-авг-2003 18:48 5.0.2195.6810 945 936 Ole32.dll
23-авг-2003 18:48 5.0.2195.6802 432 912 Rpcrt4.dll
23-авг-2003 18:48 5.0.2195.6810 192 272 Rpcss.dll
Можно также убедиться, что обновление для системы безопасности установлено, проверив следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146\Filelist
Примечание. Этот раздел реестра может создаваться неверно при встраивании или добавлении обновления для системы безопасности 824146 к установочным файлам Windows администратором или поставщиком вычислительной техники.

Windows NT 4.0 (все версии)

Сведения о загрузке

Загрузите соответствующий файл с веб-узла центра загрузки Microsoft:


Windows NT Workstation 4.0 Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Дата выпуска: 10 сентября 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Необходимые условия

Для установки этого обновления для системы безопасности необходим пакет обновления 6a (SP6a) для Windows NT Server 4.0, пакет обновления 6a (SP6a) для Windows NT Workstation 4.0 или пакет обновления 6 (SP6) для Windows NT Server 4.0 Terminal Server Edition.

Примечание. Жизненный цикл Windows NT Workstation 4.0 закончился, как сказано в упомянутом выше документе, поэтому корпорация Майкрософт обычно не предоставляет обновления для системы безопасности этого продукта. Однако, исходя из характера одного из перечисленных слабых мест, а также с учетом того, что жизненный цикл продукта закончился совсем недавно и многие пользователи в настоящий момент используют Windows NT Workstation 4.0, корпорация Майкрософт приняла решение сделать исключение в данном конкретном случае.

Корпорация Майкрософт не собирается так же поступать с другими обнаруженными уязвимостями, но сохраняет за собой право в случае необходимости выпускать и открывать доступ к обновлениям для системы безопасности. Корпорация Майкрософт рекомендует пользователям, имеющим компьютеры с установленной системой Windows NT Workstation 4.0, выполнить миграцию на поддерживаемые версии Windows, чтобы избежать угрозы безопасности в будущем. Дополнительные сведения о жизненном цикле продуктов Windows для настольных компьютеров см. на веб-узле Майкрософт по следующему адресу: Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
152734 Как получить последний пакет обновления для Windows 4,0

Сведения об установке

При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки.
  • /y Выполнить удаление (только с параметрами /m или /q).
  • /f Вызывает закрытие программ при завершении работы.
  • /n Не создавать папку Uninstall.
  • /z Не перезагружать после завершения установки обновления.
  • /q Скрытый режим без интерфейса пользователя (данный параметр является расширением параметра /m).
  • /m Автоматический режим с интерфейсом пользователя.
  • /l Отобразить список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Чтобы проверить, было ли обновление для системы безопасности установлено на компьютер, используйте средство сканирования KB 824146 (KB824146scan.exe) или Microsoft Baseline Security Analyzer (MBSA).
Дополнительные сведения о средстве сканирования KB824146scan.exe см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)

Дополнительные сведения о средстве MBSA см. в следующей статье базы знаний Майкрософт:

320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1

Правильность установки обновления для системы безопасности на компьютере можно также проверить, убедившись в наличии следующего раздела реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146

Сведения о развертывании

Для установки обновления для системы безопасности без вмешательства пользователя служит следующая команда:
Windowsnt4server-kb824146-x86-rus /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
Windowsnt4server-kb824146-x86-rus /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле Майкрософт по адресу:

Необходимость перезагрузки

После установки обновления для системы безопасности необходимо перезагрузить компьютер.

Сведения об удалении

Для удаления обновления для системы безопасности воспользуйтесь средством панели управления «Установка и удаление программ».

Чтобы удалить обновление для системы безопасности, системные администраторы могут использовать служебную программу Hotfix.exe. Она расположена в папке %Windir%\$NTUninstallKB824146$ и поддерживает следующие параметры командной строки.
  • /y Выполнить удаление (только с параметрами /m и /q).
  • /f Вызывает закрытие программ при завершении работы.
  • /n Не создавать папку Uninstall.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Использовать один из автоматических режимов без интерфейса пользователя (этот параметр является расширенным вариантом параметра /m).
  • /m Автоматический режим с интерфейсом пользователя.
  • /l Отобразить список установленных исправлений.

Сведения о замене обновлений для системы безопасности

Это обновление для системы безопасности заменяет обновление MS03-026 (823980).
Дополнительные сведения об обновлении MS03-026 (823980) см. в следующей статье базы знаний Майкрософт:
823980 MS03-026: Переполнение буфера RPC может допустить запуск кода

Сведения о файлах

Английская версия исправления содержит версии файлов, указанные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.


Windows NT Server 4.0

Дата Время Версия Размер Имя файла
------------------------------------------------------
11-авг-2003 11:29 4.0.1381.7230 701 200 Ole32.dll
11-авг-2003 11:29 4.0.1381.7230 345 872 Rpcrt4.dll
11-авг-2003 11:29 4.0.1381.7230 107 792 Rpcss.exe
Windows NT Server 4.0 Terminal Server Edition

Дата Время Версия Размер Имя файла
-------------------------------------------------------
11-авг-2003 12:30 4.0.1381.33551 701 712 Ole32.dll
11-авг-2003 12:14 4.0.1381.33551 345 360 Rpcrt4.dll
11-авг-2003 12:30 4.0.1381.33551 109 328 Rpcss.exe
Windows NT Workstation 4.0:

Дата Время Версия Размер Имя файла
------------------------------------------------------
11-авг-2003 11:29 4.0.1381.7230 701 200 Ole32.dll
11-авг-2003 11:29 4.0.1381.7230 345 872 Rpcrt4.dll
11-авг-2003 11:29 4.0.1381.7230 107 792 Rpcss.exe
Можно также убедиться, что обновление для системы безопасности установлено, проверив следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146\File 1
Примечание. Этот раздел реестра может создаваться неверно при встраивании или добавлении обновления для системы безопасности 824146 к установочным файлам Windows администратором или поставщиком вычислительной техники.

Временное решение

Хотя корпорация Майкрософт рекомендует всем своим заказчикам как можно скорее установить обновление для системы безопасности, имеется несколько временных решений, позволяющих избежать опасности. Гарантии того, что эти временные решения позволят заблокировать все возможные направления атаки, нет.

Примечание. Предлагаемые решения являются временными, так как они позволяют блокировать направления атаки, но не устраняют имеющиеся слабые места.
  • Заблокируйте порты UDP 135, 137, 138 и 445, а также порты TCP 135, 139, 445 и 593 брандмауэра. Также отключите COM-службы Интернета (CIS) и RPC через HTTP. CIS и RPC через HTTP ведут прослушивание портов 80 и 443 на компьютерах, которым угрожает опасность.

    Эти порты используются для создания RPC-подключения к удаленному компьютеру. Их блокировка в брандмауэре позволяет предотвратить попытки использовать эти уязвимые места с при атаках, направленных на компьютеры, находящиеся под защитой брандмауэра. Заблокируйте также каждый определенным образом настроенный порт RPC на удаленном компьютере.

    Если службы CIS и RPC через HTTP включены, они разрешают осуществлять вызовы DCOM через TCP-порты 80 (и 443 в Windows XP и Windows Server 2003). Убедитесь, что на всех компьютерах, которым угрожает опасность, службы CIS и RPC через HTTP отключены.
    Дополнительные сведения об отключении COM-служб Интернета см. в следующей статье базы знаний Майкрософт:
    825819 Как удалить COM-службы Интернета (CIS) и службы RPC через поддержку прокси-серверов HTTP (эта ссылка может указывать на содержимое полностью или частично на английском языке)

    Дополнительные сведения о работе службы RPC через HTTP см. на следующем веб-узле Майкрософт:
  • Используйте брандмауэр подключения к Интернету (ICF), а также отключите COM-службы Интернета (CIS) и RPC через HTTP. CIS и RPC через HTTP ведут прослушивание портов 80 и 443 на компьютерах, которым угрожает опасность.

    Если для защиты подключения к Интернету в операционных системах Windows XP или Windows Server 2003 используется брандмауэр подключения к Интернету, он по умолчанию будет блокировать весь трафик, поступающий из Интернета по протоколу RPC.

    Примечание. Брандмауэр подключения к Интернету имеется только в операционных системах Windows XP, Windows Server 2003 Standard Edition и Windows Server 2003 Enterprise Edition. Простой брандмауэр входит в состав службы маршрутизации и удаленного доступа. Его можно включить для любого общего интерфейса на компьютере под управлением операционной системы из семейства Windows Server 2003, на котором запущена эта служба.

    Убедитесь, что на всех компьютерах, которым угрожает опасность, службы CIS и RPC через HTTP отключены. Дополнительные сведения об отключении COM-служб Интернета см. в следующей статье базы знаний Майкрософт:
    825819 Как удалить COM-службы Интернета (CIS) и службы RPC через поддержку прокси-серверов HTTP (эта ссылка может указывать на содержимое полностью или частично на английском языке)

    Дополнительные сведения о работе службы RPC через HTTP см. на следующем веб-узле Майкрософт:
  • Заблокируйте порты, которым угрожает опасность, с помощью фильтра протокола IPSec и отключите COM-службы Интернета (CIS) и RPC через HTTP. CIS и RPC через HTTP ведут прослушивание портов 80 и 443 на компьютерах, которым угрожает опасность.

    Использование протокола IPSec позволяет улучшить безопасность работы в сети при использовании компьютеров под управлением Windows 2000.
    За дополнительными сведениями о протоколе IPSec и применении списков IP-фильтров обратитесь к следующим статьям базы знаний Майкрософт:
    313190 Использование списка IP-фильтров IPSec в Windows 2000

    813878 Блокирование определенных сетевых протоколов и портов с помощью IPSec

    Убедитесь, что на всех компьютерах, которым угрожает опасность, службы CIS и RPC через HTTP отключены.
    Дополнительные сведения об отключении COM-служб Интернета см. в следующей статье базы знаний Майкрософт:
    825819 Как удалить COM-службы Интернета (CIS) и службы RPC через поддержку прокси-серверов HTTP (эта ссылка может указывать на содержимое полностью или частично на английском языке)

    Дополнительные сведения о работе службы RPC через HTTP см. на следующем веб-узле Майкрософт:
  • Отключите DCOM на всех компьютерах, которым угрожает опасность. На компьютерах, подключенных к сети, протокол связи DCOM позволяет COM-объектам на различных компьютерах взаимодействовать между собой.

    Чтобы защитить компьютер, отключите на нем DCOM, но при этом объекты этого компьютера не смогут взаимодействовать с объектами других компьютеров. После отключения протокола DCOM на удаленном компьютере вы не сможете снова удаленно подключить его. Для подключения DCOM вам потребуется физический доступ к компьютеру.
    Дополнительные сведения об отключении DCOM см. в следующей статье базы знаний Майкрософт:
    825750 Отключение поддержки DCOM в Windows

    Примечание. При использовании Windows 2000 способы, описанные в статье базы знаний Майкрософт 825750, применимы только к компьютерам с установленным пакетом обновления 3 (SP3) или более поздним. Пользователи, применяющие пакет обновления 2 (SP2) или более ранний, должны выполнить модернизацию с помощью установки более позднего пакета обновления или прибегнуть к другому временному решению.

Статус

Данное поведение является подтвержденной уязвимостью продуктов Майкрософт, перечисленных в начале данной статьи.
Первое исправление этой проблемы появилось в пакете обновления 4 (SP4) для Windows 2000.

Дополнительная информация

Дополнительные сведения о данной уязвимости см. на веб-узле корпорации Майкрософт по следующему адресу: Дополнительные сведения о безопасности протокола RPC для клиентов и серверов см. на следующем веб-узле Майкрософт: Дополнительные сведения о портах, используемых RPC, см. на следующем веб-узле Майкрософт:
Свойства

Номер статьи: 824146 — последний просмотр: 16 июня 2009 г. — редакция: 1

Отзывы и предложения