MS03-007: Неограниченный буфер в компоненте Microsoft Windows 2000 может привести к несанкционированному доступу к веб-серверу

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Данная статья была впервые опубликована корпорацией Microsoft 17 марта 2003 г. На тот момент корпорация Microsoft была осведомлена о наличии уязвимого места, которое было использовано для атаки на системы Windows 2000 Servers с работающими службами IIS 5.0. Целью атаки в этом случае служил WebDAV, хотя основным уязвимым местом был внутренний компонент операционной системы Ntdll.dll. Вскоре после этого корпорация Microsoft выпустила исправление, призванное защитить пользователей Windows 2000, и продолжала исследовать причину уязвимости. В Windows NT 4.0 также имеется этот изъян Ntdll.dll, однако эта операционная система не поддерживает WebDAV, поэтому известная атака против Windows NT 4.0 неэффективна. В настоящее время корпорация Microsoft выпустила исправления для Windows NT 4.0. Кроме того, недавно корпорация Microsoft обнаружила такое же уязвимое место в Windows XP. Однако, как и в случае с Windows NT 4.0, Windows XP не устанавливает по умолчанию службы IIS (Internet Information Services). 28 мая 2003 г. Microsoft выпустила исправления Windows XP и Windows XP с пакетом обновления 1 (SP1).

Внимание! Если вы работаете с системой Windows 2000 с установленным пакетом обновления 2 (SP2), вы должны проверить версию файла Ntoskrnl.exe в системе перед установкой исправления. Для этого выполните следующие действия.
  1. Откройте папку %Windir%\System32.
  2. Правой кнопкой мыши щелкните файл Ntoskrnl.exe, выберите в контекстном меню пункт Свойства и перейдите на вкладку Версия.
Версии файла Ntoskrnl.exe с 5.0.2195.4797 по 5.0.2195.4928 несовместимы с данным исправлением. Указанные версии поставлялись только в составе исправлений, выпускавшихся службами поддержки продуктов Microsoft. Если вы установите обновление, описываемое в настоящей статье, на компьютер, где Ntoskrnl.exe имеет версию с 5.0.2195.4797 по 5.0.2195.4928, компьютер перестанет отвечать на запросы и сформулирует при перезагрузке аварийное сообщение «Stop 0x00000071». В таком случае будет необходимо провести восстановление системы с помощью консоли восстановления Windows 2000 и извлечь копию библиотеки Ntdll.dll, расположенную в папке Winnt\$NTUninstallQ815021$.

Для обновления компьютера, имеющего версию файла Ntoskrnl.exe, распространяемую в составе исправлений служб поддержки продуктов, предварительно свяжитесь со службой поддержки продуктов Microsoft. Полный список телефонов служб поддержки, а также условия обслуживания доступны на веб-узле Microsoft по следующему адресу: Вы можете также обновить систему до Windows 2000 с пакетом обновления 3 (SP3) перед установкой исправления.
Проблема
Операционные системы MS Windows 2000 и MS Windows NT 4.0 поддерживают протокол WebDAV (World Wide Web Distributed Authoring and Versioning). Согласно документу RFC 2518, протокол WebDAV — это набор расширений протокола HTTP (Hyper Text Transfer Protocol), обеспечивающий стандарт редактирования и управления файлами на компьютерах в Интернете. Для просмотра документа RFC 2518 обратитесь к веб-сайту RFC: Корпорация Microsoft обеспечивает пользователей контактной информацией сторонних производителей для облегчения получения технической поддержки. Данная информация может быть изменена без предварительного уведомления. Корпорация Microsoft не дает никаких явных или подразумеваемых гарантий относительно корректности приведенной контактной информации о независимых производителях.

Существует уязвимость в системе безопасности компонента Windows, который используется WebDAV. Причиной данной уязвимости является непроверяемый буфер компонента.

Злоумышленник может использовать данную уязвимость, посылая специально сформированный HTTP-запрос на компьютер с установленными службами Microsoft Internet Information Services (IIS)/ Запрос может привести к выходу из строя сервера или запуску любого кода злоумышленника . Код запускается в контексте безопасности службы IIS. (По умолчанию, служба IIS запускается от имени учетной записи «Локальный компьютер»).

Компания Microsoft выпустила исправление для устранения описанного уязвимого места и рекомендует установить его незамедлительно, однако при этом предлагаются дополнительные средства и превентивные меры, позволяющие предотвратить использование данной уязвимости до окончания проверки влияния и совместимости исправления. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
816930 MS02-007: Как получить временное решение проблемы уязвимости Windows 2000, описанной в статье 815021

Факторы, снижающие опасность

  • По умолчанию конфигурация URLScan предотвращает использование данной уязвимости. URLScan — это часть средства IIS Lockdown. За дополнительной информацией об URLScan обратитесь к веб-узлу корпорации Microrsoft по адресу: За дополнительной информацией о средстве IIS Lockdown обратитесь к веб-узлу:
  • Уязвимость может быть использована только удаленно, если злоумышленник сможет установить веб-сеанс с незащищенным сервером.
Решение

Сведения о пакете обновления

Windows 2000

Чтобы решить проблему, найдите последнюю версия пакета обновления для Microsoft Windows 2000. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
260910 Как получить последний пакет исправлений для Microsoft Windows 2000

Сведения об исправлении безопасности

Windows XP

Сведения о загрузке
Загрузите следующие файлы с веб-узла центра загрузки Microsoft:

Windows XP (все версии)
Windows XP (64-разрядная версия)Дата выпуска: 28 мая 2003

За дополнительной информацией о загрузке файлов с узла центра загрузки Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.
Необходимые условия

Для установки пакета исправления требуется официальная версия Windows XP или Windows XP с пакетом обновления 1 (SP1). За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
322389 How to Obtain the Latest Windows XP Service Pack
Сведения об установке

При запуске программы установки можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать архивные копии удаляемых файлов.
  • /o Заменять файлы OEM без выдачи запроса.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
  • /l Привести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Например, для установки обновления без вывода пользовательского интерфейса и без автоматической перезагрузки компьютера после установки используйте следующую команду:
q815021_wxp_sp2_x86_rus /u /q /z
Для проверки наличия данного обновления в системе убедитесь в существовании следующего раздела системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021
Сведения об удалении

Для удаления исправления воспользуйтесь средством панели управления Установка и удаление программ.

Чтобы удалить исправление, системные администраторы могут использовать утилиту Spuninst.exe. Spuninst.exe располагается в папке %Windir%\$NTUninstallQ815021$\Spuninst и поддерживает следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки обновления, поскольку Ntdll.dll является частью ядра системы и загружается при запуске системы. Пока не выполнена перезагрузка, компьютер остается уязвимым.

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (По Гринвичу). При просмотре Вами сведений о файле в системе происходит перевод соответствующих значений в Ваше местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать закладку Часовой пояс элемента Панели управления «Дата и время».

Windows XP
   Дата         Время   Версия          Размер    Путь и имя файла   ---------------------------------------------------------------------------------   02-May-2003  15:03   5.1.2600.114    651,264   %Windir%\System32\Ntdll.dll  pre-SP1   01-May-2003  20:56   5.1.2600.1217   654,336   %Windir%\System32\Ntdll.dll  with SP1

Windows XP (64-разрядная версия)
   Дата         Время    Версия         Размер     Путь и имя файла   ------------------------------------------------------------------------------------   02-May-2003  15:03    5.1.2600.114   1,498,112  %WinDir%\System32\Ntdll.dll   pre-SP1   01-May-2003  14:57    5.1.2600.114   654,336    %WinDir%\System32\Wntdll.dll   pre-SP1   01-May-2003  20:56    5.1.2600.1217  1,508,864  %WinDir%\System32\Ntdll.dll   with SP1   30-Apr-2003  21:43    5.1.2600.1217  657,408    %WinDir%\System32\Wntdll.dll   with SP1
Вы также можете проверить файлы, установленные данным обновлением, просмотрев следующий раздел реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

Windows 2000

Сведения о загрузке

Загрузите следующие файлы с веб-узла центра загрузки Microsoft:

Для всех языков кроме японского (NEC)Японский (NEC): Дата выпуска: 17 марта 2003 г.

За дополнительной информацией о загрузке файлов с узла центра загрузки Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение. Необходимые условия

Для установки данного обновления требуется Windows 2000 с пакетом обновления 2 (SP2) или Windows 2000 с пакетом обновления 3 (SP3). За дополнительной информацией о получении последней версии пакета обновления обратитесь к следующей статье Microsoft Knowledge Base:
260910 Как получить последний пакет исправлений для Microsoft Windows 2000
Примечание. Перед использованием пакета обновлений Windows 2000 Service Pack 2 (SP2) обратите внимание на предупреждение, помещенное в начале этой статьи.

Сведения об установке

При запуске программы установки можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать архивные копии удаляемых файлов.
  • /o Заменять файлы OEM без выдачи запроса.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
  • /l Привести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Например, для установки обновления без вывода пользовательского интерфейса и без автоматической перезагрузки компьютера после установки используйте следующую команду:
q815021_w2k_sp4_x86_ru /u /q /z
Для проверки наличия данного обновления в системе убедитесь в существовании следующего раздела системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021
Сведения об удалении

Вы можете удалить данное обновление, используя элемент панели управления «Установка и удаление программ» для удаления «Windows 2000 Hotfix (SP4) Q815021».

Чтобы удалить исправление, системные администраторы могут использовать утилиту Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB819696$\Spuninst, и при ее запуске можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки обновления, поскольку Ntdll.dll является частью ядра системы и загружается при запуске системы. Пока не выполнена перезагрузка, компьютер остается уязвимым.

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (По Гринвичу). При просмотре Вами сведений о файле в системе происходит перевод соответствующих значений в Ваше местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать закладку Часовой пояс элемента Панели управления «Дата и время».

   Дата         Время  Версия         Размер   Путь и имя файла   -----------------------------------------------------------------------   15-Mar-2003  01:23  5.0.2195.6685  476,944  %Windir%\System32\Ntdll.dll

Вы можете также убедиться, что исправления установлены, проверив следующие разделы реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

Windows NT 4.0 (Все версии)

Microsoft Internet Information Server (IIS) не поддерживается и не предназначен для использования с Windows NT Server 4.0, Terminal Server Edition. Корпорация Microsoft рекомендует заказчикам, использующим IIS 4.0 с Windows NT Server 4.0, Terminal Server Edition, защитить их системы, удалив IIS 4.0.

Сведения о загрузке

Загрузите следующие файлы с веб-узла центра загрузки Microsoft:

Windows NT 4.0

Все языки за исключением японского (NEC) и китайского (Гонконг):
Китайский (Гонконг):
Windows NT Server 4.0, Terminal Server Edition

Дата выпуска: 23 апреля 2003 г.

За дополнительной информацией о загрузке файлов с узла центра загрузки Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 How to Obtain Microsoft Support Files from Online Services
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Необходимые условия

Для установки исправления требуется система Windows NT 4.0 с пакетом обновления 6a (SP6a) или Windows NT Server 4.0, Terminal Server Edition с пакетом обновления 6 (SP6). За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
152734 How to Obtain the Latest Windows NT 4.0 Service Pack


Сведения об установке

При запуске программы установки можно использовать следующие параметры командной строки.
  • /y Выполнить удаление (только с параметрами /m и /q).
  • /f Закрыть программы при завершении работы.
  • /n Не создавать папку Uninstall.
  • /z Не перезагружать после завершения установки обновления.
  • /q Скрытый или автоматический режим без интерфейса пользователя. (Этот параметр является расширенным вариантом /m.)
  • /m Автоматический режим с интерфейсом пользователя.
  • /l Привести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Чтобы убедиться, что исправление установлено, проверьте, создан ли следующий раздел реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021
Например, для установки обновления без вывода пользовательского интерфейса и без автоматической перезагрузки компьютера после установки используйте следующую команду:
rus_q815021i /q /z
Сведения об удалении

Для удаления исправления безопасности воспользуйтесь средством панели управления «Установка и удаление программ».

Чтобы удалить исправление, системные администраторы могут использовать утилиту Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB819696$\Spuninst, и при ее запуске можно использовать следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).
Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки обновления, поскольку Ntdll.dll является частью ядра системы и загружается при запуске системы. Пока не выполнена перезагрузка, компьютер остается уязвимым.

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (По Гринвичу). При просмотре Вами сведений о файле в системе происходит перевод соответствующих значений в Ваше местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать закладку Часовой пояс элемента Панели управления «Дата и время».

   Дата         Время   Версия           Размер      Путь и имя файла             ОС   ----------------------------------------------------------------------------------------   24-Mar-2003  10:38   4.0.1381.7212    367,376     %WinDir%\System32\Ntdll.dll  Windows NT 4.0   24-Mar-2003  07:12   4.0.1381.33546   369,936     %WinDir%\System32\Ntdll.dll  TSE

Статус
Данное поведение является подтвержденной уязвимостью продуктов Microsoft, перечисленных в начале данной статьи.

Только для Windows 2000

Первое исправление этой проблемы появилось в пакете обновления 4 (SP4) для Microsoft Windows 2000.
Дополнительная информация
Более подробную информацию об этой уязвимости см. на веб-узле корпорации Microrsoft по адресу:

Пользователи многопроцессорных компьютеров должны запустить средство MBSA (Microsoft Baseline Security Analyzer) с параметром /nosum для отмены проверки контрольных сумм. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.1.1
security_patch Session5_initialization_failed Stop 0x71
Свойства

Номер статьи: 815021 — последний просмотр: 12/08/2015 02:05:02 — редакция: 13.2

Microsoft Windows 2000 Advanced Server, Операционная система Microsoft Windows 2000 Professional, операционная система Microsoft Windows 2000 Server, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0, Terminal Server Edition, Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows XP Professional

  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp4fix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB815021
Отзывы и предложения