В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету
Войти

MS03-026: Переполнение буфера RPC может допустить запуск кода

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.


Обновление технических сведений

  • 10 сентября 2003 г.: В статью были внесены следующие изменения.
    • В разделы «Сведения о замене обновления для системы безопасности» добавлена информация о том, что данное обновление было заменено обновлением 824146 (MS03-039). Дополнительные сведения об обновлении для системы безопасности 824146 (MS03-039) см. в следующей статье базы знаний Майкрософт:
      824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
    • В разделы «Сведения об установке» добавлена информация о том, что корпорация Майкрософт выпустила инструмент, который может быть использован сетевыми администраторами для сканирования сети и выявления узлов, на которых не установлены обновления для системы безопасности 823980 (MS03-026) и 824146 (MS03-039). Дополнительные сведения об этом средстве см. в следующей статье базы знаний Майкрософт:
      827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)
    • В раздел «Сведения о замене обновления для системы безопасности» для Windows NT 4.0 добавлена информация о том, что данное обновление для системы безопасности заменяет обновление 305399 (MS01-048) для компьютеров под управлением Windows NT 4.0.
  • 19 августа 2003 г.: В раздел «Дополнительные сведения» была добавлена ссылка на статью базы знаний Майкрософт 826234. В этой статье содержатся сведения о вирусе-черве Nachi, который распространяется, используя уязвимое место, для устранения которого было выпущено это обновление для системы безопасности.
    826234 Сообщение о черве Nachi
  • 14 августа 2003 г.: В статью были внесены следующие изменения.
    • В раздел «Дополнительные сведения» была добавлена ссылка на статью базы знаний Майкрософт 826955. В этой статье содержатся сведения о вирусе-черве W32.Blaster, который распространяется, используя уязвимое место, для устранения которого было выпущено это обновление для системы безопасности.
      826955 Сообщение о черве W32.Blaster.Worm и его разновидностях
    • В раздел «Сведения об установке» была добавлена информация о том, что корпорация Майкрософт выпустила средство, позволяющее администраторам находить в сетях компьютеры, на которых не установлено это обновление для системы безопасности.
    • В раздел «Сведения о замене обновления для системы безопасности» была добавлена информация о том, что это обновление заменяет обновление 331953 (MS03-010) для Windows 2000 и Windows XP. В случае систем Windows NT 4.0 и Windows Server 2003 это обновление не заменяет других обновлений для системы безопасности.
    • В раздел «Необходимые условия» для Windows 2000 были добавлены сведения о поддержке этого обновления пакетом обновления 2 (SP2) для Windows 2000.
    • Раздел «Временное решение» стал более подробным.
  • 18 июля 2003 г.: Обновлены разделы «Проблема» и «Факторы, снижающие опасность». Добавлено примечание к разделу «Необходимые условия» для Windows 2000. Добавлено примечание к разделу «Необходимые условия» для Windows NT 4.0. В разделе «Windows NT 4.0» раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980 был заменен на HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q823980. В разделе «Временное решение» был изменен текст первого пункта («Блокировка порта 135 брандмауэром»). Для следующих операционных систем были изменены таблицы сведений о файлах: Windows Server 2003 (32-разрядная версия), Windows Server 2003, (64-разрядная версия), Windows XP Professional, Windows XP Home Edition, Windows XP (64-разрядная версия).
  • 18 августа 2003 г.: Обновлен раздел «Необходимые требования».
Проблема
Впервые этот бюллетень и соответствующее обновление для системы безопасности были выпущены корпорацией Майкрософт 16 июля 2003 г., чтобы устранить уязвимое место в системе безопасности интерфейса DCOM (Distributed Component Object Model) RPC (Remote Procedure Call) системы Windows. Это обновление до сих пор надежно закрывает брешь в системе безопасности. Однако в разделах «Факторы, снижающие опасность» и «Временное решение» первой версии бюллетеня были указаны не все порты, которые могут представлять опасность. Поэтому корпорация Майкрософт выпустила обновленную версию бюллетеня, в которой указаны все порты, используемые службами RPC, чтобы пользователи, применяющие временные решения проблемы перед установкой обновления, располагали всей необходимой для защиты компьютера информацией. Пользователи, которые уже установили обновление, защитили это уязвимое место и могут не предпринимать никаких дополнительных мер безопасности.

Протокол RPC (Remote procedure call) используется операционной системой Windows. Он обеспечивает взаимодействие между процессами и позволяет программам, запущенным на одном компьютере, беспрепятственно выполнять код на удаленном компьютере. В основе протокола лежит другой протокол – OSF (Open Software Foundation) RPC. Используемый в Windows протокол RPC представляет собой расширенную версию последнего.

Одно из таких расширений, которое отвечает за обмен сообщениями по TCP/IP, является уязвимым местом. Обработка некорректно составленных сообщений может привести к сбою в работе системы. Это уязвимое место связано с интерфейсом DCOM (Distributed Component Object Model), который ведет прослушивание портов RPC. Этот интерфейс обрабатывает запросы на активацию объектов DCOM, отправляемых клиентскими компьютерами (например, запросов путей в стандартном формате записи имен (UNC)) серверу. Злоумышленник, которому удастся воспользоваться этим уязвимым местом, получит возможность запускать на компьютере пользователя собственный код от имени учетной записи «Локальный компьютер». Он сможет выполнять в системе любые действия, в том числе устанавливать программы, просматривать данные, изменять и удалять их, а также создавать новые учетные записи с полными правами.

Чтобы воспользоваться уязвимостью, злоумышленник должен направить на нужный порт RPC удаленного компьютера специальный запрос.

Факторы, снижающие опасность
  • Нарушитель должен иметь возможность направлять специальные запросы на порты 135, 139, 445 или любой другой специально настроенный RPC-порт удаленного компьютера. Внутри сети эти порты обычно открыты, но на подключенных к Интернету компьютерах они, как правило, блокируются брандмауэром. Если эти порты открыты (например, внутри локальной сети), нарушителю не понадобятся дополнительные права.
  • Рекомендуется не держать открытыми порты TCP/IP, которые не используются. По умолчанию большинство брандмауэров, в том числе и брандмауэр подключения к Интернету (ICF), входящий в состав операционной системы Windows, держат эти порты закрытыми. Поэтому у большинства компьютеров, подключенных к Интернету, порты RPC через TCP и UDP должны быть заблокированы. В таких системах, как Интернет, не предусмотрено использование протокола RPC через TCP или UDP. Там используются более надежные протоколы, например RPC в сочетании с HTTP (Hypertext Transfer Protocol).
Решение

Сведения об обновлении для системы безопасности

Для получения дополнительных сведений воспользуйтесь одной из следующих ссылок.

Windows Server 2003 (все версии)

Сведения о загрузке
Загрузите соответствующий файл с веб-узла центра загрузки Microsoft:

Windows Server 2003 (32-разрядная версия)Windows Server 2003 (64-разрядная версия) и Windows XP (64-разрядная версия) 2003 Дата выпуска: 16 июля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.
Необходимые условия
Для установки обновления требуется выпущенная версия Windows Server 2003.
Сведения об установке
При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки:
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать резервные копии удаляемых файлов.
  • /o Заменять файлы ПВТ без вывода запроса.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
  • /l Вывести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Корпорация Майкрософт выпустила средство для администраторов, позволяющее обнаружить в сети компьютеры, на которых не установлено это обновление для системы безопасности. Дополнительные сведения об этом средстве см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)
Вы можете также определить, установлено ли обновление для системы безопасности на компьютер, воспользовавшись средством Microsoft Baseline Security Analyzer (MBSA), сравнив версии установленных на компьютере файлов с версиями, указанными в разделе «Сведения о файлах», или проверив, имеется ли в реестре следующий раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980
Для проверки факта установки обновления используется средство Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения о средстве MBSA см. на следующей странице веб-узла корпорации Майкрософт:
Сведения о развертывании
Чтобы установить обновление для системы безопасности без вмешательства пользователя, введите следующую команду:
WindowsServer2003-KB823980-x86-RUS /u /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
WindowsServer2003-KB823980-x86-RUS /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле Майкрософт по адресу:
Необходимость перезагрузки
После установки обновления для системы безопасности необходимо перезагрузить компьютер.
Сведения об удалении
Чтобы удалить обновление для системы безопасности, воспользуйтесь средством панели управления «Установка и удаление программ».

Кроме того, для удаления этого обновления системные администраторы могут использовать программу Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB823980$\Spuninst. Программа Spuninst.exe поддерживает следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
Сведения о замене обновления для системы безопасности
На компьютерах, работающих под управлением операционной системы Windows Server 2003, это обновление не заменяет других обновлений.

Данное обновление для системы безопасности заменено обновлением 824146 (MS03-039). Дополнительные сведения об обновлении для системы безопасности 824146 (MS03-039) см. в следующей статье базы знаний Майкрософт:
824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
Сведения о файлах
Английская версия исправления содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.

Windows Server 2003, 32-разрядная версия
   Дата         Время  Версия          Размер     Имя файла    Папка   -------------------------------------------------------------------   05-иол-2003  18:03  5.2.3790.68     1 182 720  Ole32.dll    \rtmgdr   05-июл-2003  18:03  5.2.3790.59       657 920  Rpcrt4.dll   \rtmgdr   05-июл-2003  18:03  5.2.3790.68       217 088  Rpcss.dll    \rtmgdr   05-июл-2003  18:01  5.2.3790.68     1 182 720  Ole32.dll    \rtmqfe   05-июл-2003  18:01  5.2.3790.63       658 432  Rpcrt4.dll   \rtmqfe   05-июл-2003  18:01  5.2.3790.68       217 600  Rpcss.dll    \rtmqfe


Windows Server 2003 (64-разрядная версия) и Windows XP (64-разрядная версия 2003)
   Дата         Время  Версия          Размер     Имя файла                Папка   ----------------------------------------------------------------------------------   05-июл-2003  18:05  5.2.3790.68     3 549 184  Ole32.dll       (IA64)   \Rtmgdr   05-июл-2003  18:05  5.2.3790.59     2 127 872  Rpcrt4.dll      (IA64)   \Rtmgdr   05-июл-2003  18:05  5.2.3790.68       660 992  Rpcss.dll       (IA64)   \Rtmgdr   05-июл-2003  18:03  5.2.3790.68     1 182 720  Wole32.dll      (X86)    \Rtmgdr\Wow   05-июл-2003  18:03  5.2.3790.59       539 648  Wrpcrt4.dll     (X86)    \Rtmgdr\Wow   05-июл-2003  18:03  5.2.3790.68     3 548 672  Ole32.dll       (IA64)   \Rtmqfe   05-июл-2003  18:03  5.2.3790.63     2 128 384  Rpcrt4.dll      (IA64)   \Rtmqfe   05-июл-2003  18:03  5.2.3790.68       662 016  Rpcss.dll       (IA64)   \Rtmqfe   05-июл-2003  18:01  5.2.3790.68     1 182 720  Wole32.dll      (X86)    \Rtmqfe\Wow   05-июл-2003  18:01  5.2.3790.63       539 648  Wrpcrt4.dll     (X86)    \Rtmqfe\Wow
Примечание. При установке этого обновления для системы безопасности на компьютеры под управлением систем Windows Server 2003 и Windows XP (64-разрядная версия 2003) установщик проверяет, выполнялось ли обновление этих файлов при установке других обновлений корпорации Майкрософт. Если один из файлов был обновлен ранее, установщик скопирует файлы из данного обновления. В противном случае установщик скопирует на ваш компьютер файлы GDR. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
824994 Общее описание содержимого обновлений для Windows Server 2003 (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Список установленных файлов содержится в следующем разделе реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB823980\Filelist

Windows XP (все версии)

Сведения о загрузке
Загрузите соответствующий файл с веб-узла центра загрузки Microsoft:

Windows XP Professional и Windows XP Home EditionWindows XP, 64-разрядная версия 2002 Дата выпуска: 16 июля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.
Необходимые условия
Для установки обновления для системы безопасности требуется выпущенная версия Windows XP или Windows XP с пакетом обновления 1 (SP1). Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
322389 Как получить последний пакет обновления для Windows XP
Сведения об установке
При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки:
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать резервные копии удаляемых файлов.
  • /o Заменять файлы ПВТ без вывода запроса.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
  • /l Вывести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Корпорация Майкрософт выпустила средство для администраторов, позволяющее обнаружить в сети компьютеры, на которых не установлено это обновление для системы безопасности. Дополнительные сведения об этом средстве см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)
Вы можете также определить, установлено ли обновление для системы безопасности на компьютер, воспользовавшись средством Microsoft Baseline Security Analyzer (MBSA), сравнив версии установленных на компьютере файлов с версиями, указанными в разделе «Сведения о файлах», или проверив, имеется ли в реестре следующий раздел:

Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
Windows XP с пакетом обновления 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
Дополнительные сведения о средстве Microsoft Baseline Security Analyzer (MBSA) см. в следующей статье базы знаний Майкрософт:
320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1
Сведения о развертывании
Чтобы установить обновление для системы безопасности без вмешательства пользователя, введите следующую команду:
WindowsXP-KB823980-x86-RUS /u /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
WindowsXP-KB823980-x86-ENU /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле Майкрософт по адресу:
Необходимость перезагрузки
После установки обновления для системы безопасности необходимо перезагрузить компьютер.
Сведения об удалении
Чтобы удалить обновление для системы безопасности, воспользуйтесь средством панели управления «Установка и удаление программ».

Кроме того, для удаления этого обновления системные администраторы могут использовать программу Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB823980$\Spuninst. Программа Spuninst.exe поддерживает следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
Сведения о замене обновления для системы безопасности
В случае системы Windows XP это обновление для системы безопасности заменяет обновление 331953 (MS03-010).

Данное обновление для системы безопасности заменено на 824146 (MS03-039). Дополнительные сведения об обновлении для системы безопасности 824146 (MS03-039) см. в следующей статье базы знаний Майкрософт:
824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
Сведения о файлах
Английская версия исправления содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.

Windows XP Professional и Windows XP Home Edition

   Дата         Время  Версия          Размер     Имя файла   -------------------------------------------------------------------   05-июл-2003  19:14  5.1.2600.115    1 092 096  Ole32.dll    без SP1   05-июл-2003  19:14  5.1.2600.109      439 296  Rpcrt4.dll   без SP1   05-июл-2003  19:14  5.1.2600.115      203 264  Rpcss.dll    без SP1   05-июл-2003  19:12  5.1.2600.1243   1 120 256  Ole32.dll    с SP1   05-июл-2003  19:12  5.1.2600.1230     504 320  Rpcrt4.dll   с SP1   05-июл-2003  19:12  5.1.2600.1243     202 752  Rpcss.dll    с SP1
Windows XP (64-разрядная версия 2002):

   Дата         Время  Версия          Размер     Имя файла   --------------------------------------------------------------------------------   05-июл-2003  19:15  5.1.2600.115    4 191 744  Ole32.dll        (IA64)  без SP1   05-июл-2003  19:15  5.1.2600.109    2 025 472  Rpcrt4.dll       (IA64)  без SP1   05-июл-2003  19:15  5.1.2600.115      737 792  Rpcss.dll        (IA64)  без SP1   05-июл-2003  19:12  5.1.2600.1243   4 292 608  Ole32.dll        (IA64)  с SP1   05-июл-2003  19:12  5.1.2600.1230   2 292 224  Rpcrt4.dll       (IA64)  с SP1   05-июл-2003  19:12  5.1.2600.1243     738 304  Rpcss.dll        (IA64)  с SP1   05-июл-2003  18:37  5.1.2600.115    1 092 096  Wole32.dll       (X86)   без SP1   03-янв-2003  02:06  5.1.2600.109      440 320  Wrpcrt4.dll      (X86)   без SP1   05-июл-2003  18:07  5.1.2600.1243   1 120 256  Wole32.dll       (X86)   с SP1   04-июн-2003  17:35  5.1.2600.1230     505 344  Wrpcrt4.dll      (X86)   с SP1

Примечание. Версия этого обновления для Windows XP является обновлением с двумя режимами. Дополнительные сведения об обновлениях с двумя режимами см. в следующей статье базы знаний Майкрософт:
328848 Описание обновлений с двумя режимами для Windows XP (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Список установленных файлов содержится в следующем разделе реестра.

Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980\Filelist
Windows XP с пакетом обновления 1 (SP1):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980\Filelist

Windows 2000 (все версии)

Сведения о загрузке
Загрузите следующий файл с веб-узла центра загрузки Microsoft:

Дата выпуска: 16 июля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Примечание. Это обновление нельзя устанавливать на операционную систему Windows 2000 Datacenter Server. За дополнительными сведениями о получении обновления для системы безопасности Windows 2000 Datacenter Server обратитесь к соответствующему поставщику вычислительной техники. Дополнительные сведения об операционной системе Windows 2000 Datacenter Server см. в следующей статье базы знаний Майкрософт:
265173 Партнерская программа Windows Datacenter Program и операционная система Microsoft Windows 2000 Datacenter Server
Необходимые условия
Для установки данного обновления для системы безопасности необходима операционная система Windows 2000 с пакетом обновления 2 (SP2), Windows 2000 с пакетом обновления 3 (SP3) или Windows 2000 с пакетом обновления 4 (SP4).

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
260910 Как получить последний пакет обновления для Windows 2000
Сведения об установке
При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки:
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /n Не создавать резервные копии удаляемых файлов.
  • /o Заменять файлы ПВТ без вывода запроса.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
  • /l Вывести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Корпорация Майкрософт выпустила средство, позволяющее обнаружить в сети компьютеры, на которых не установлено это обновление для системы безопасности. Дополнительные сведения об этом средстве см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)
Вы можете также определить, установлено ли обновление для системы безопасности на компьютер, воспользовавшись средством Microsoft Baseline Security Analyzer (MBSA), сравнив версии установленных на компьютере файлов с версиями, указанными в разделе «Сведения о файлах», или проверив, имеется ли в реестре следующий раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980
Дополнительные сведения о средстве Microsoft Baseline Security Analyzer (MBSA) см. в следующей статье базы знаний Майкрософт:
320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1
Сведения о развертывании
Чтобы установить обновление для системы безопасности без вмешательства пользователя, введите следующую команду:
Windows2000-KB823980-x86-RUS /u /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
Windows2000-KB823980-x86-RUS /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле Майкрософт по адресу:
Необходимость перезагрузки
После установки обновления для системы безопасности необходимо перезагрузить компьютер.
Сведения об удалении
Чтобы удалить обновление для системы безопасности, воспользуйтесь средством панели управления «Установка и удаление программ».

Кроме того, для удаления этого обновления системные администраторы могут использовать программу Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB823980$\Spuninst. Программа Spuninst.exe поддерживает следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
Сведения о замене обновления для системы безопасности
В случае системы Windows 2000 это обновление для системы безопасности заменяет обновление 331953 (MS03-010).

Данное обновление для системы безопасности заменено на 824146 (MS03-039). Дополнительные сведения об обновлении для системы безопасности 824146 (MS03-039) см. в следующей статье базы знаний Майкрософт:
824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
Сведения о файлах
Английская версия исправления содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.

   Дата         Время  Версия            Размер   Имя файла   --------------------------------------------------------------   05-июл-2003  17:15  5.0.2195.6769     944 912  Ole32.dll   05-июл-2003  17:15  5.0.2195.6753     432 400  Rpcrt4.dll   05-июл-2003  17:15  5.0.2195.6769     188 688  Rpcss.dll
Список установленных файлов содержится в следующем разделе реестра.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB823980\Filelist
Данная проблема может быть решена с помощью исправления, выпущенного корпорацией Майкрософт. Предлагаемое исправление должно применяться исключительно в системах, где наблюдается вышеописанная проблема.

Для того чтобы получить исправление, обратитесь в службу поддержки продуктов Microsoft. Полный список телефонов служб поддержки продуктов Майкрософт, а также сведения об условиях обслуживания доступны на веб-узле корпорации Майкрософт по адресу:Примечание. В отдельных случаях, если специалисты службы поддержки продуктов Microsoft определят, что для решения проблемы требуется специальное обновление, плата за обращение в службу технической поддержки может не взиматься. Дополнительные услуги по технической поддержке, не связанные с данным обновлением, оплачиваются на стандартных условиях.

Windows NT 4.0 (все версии)

Сведения о загрузке
Загрузите соответствующий файл с веб-узла центра загрузки Microsoft:

Windows NT 4.0 Server Windows NT 4.0 Server, Terminal Server Edition Дата выпуска: 16 июля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки Microsoft см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.
Необходимые условия
Для установки обновления для системы безопасности требуется система Windows NT 4.0 с пакетом обновления 6a (SP6a) или Windows NT Server 4.0 Terminal Server Edition с пакетом обновления 6 (SP6).

Примечание. Это обновление для системы безопасности можно устанавливать на операционную систему Windows NT 4.0 Workstation. Однако в соответствии с политикой поддержки продуктов Майкрософт эта версия Windows больше не поддерживается. Кроме того, это обновление для системы безопасности не испытывалось для Windows NT 4.0 Workstation. Для получения дополнительных сведений о политике поддержки жизненного цикла продуктов корпорации Майкрософт посетите следующий веб-узел корпорации Майкрософт: Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
152734 Как получить последний пакет обновления для Windows 4,0
Сведения об установке
При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки:
  • /y Выполнить удаление (только с параметрами /m или /q).
  • /f Закрыть программы при завершении работы.
  • /n Не создавать папку Uninstall.
  • /z Не перезагружать после завершения установки обновления.
  • /q Скрытый режим без интерфейса пользователя (данный параметр является расширением параметра /m).
  • /m Автоматический режим с интерфейсом пользователя.
  • /l Вывести список установленных исправлений.
  • /x Извлечь файлы без запуска программы установки.
Корпорация Майкрософт выпустила средство, позволяющее обнаружить в сети компьютеры, на которых не установлено это обновление для системы безопасности. Дополнительные сведения об этом средстве см. в следующей статье базы знаний Майкрософт:
827363 Как с помощью средства сканирования, описанного в статье KB 824146, проверить, установлены ли на узлах сети исправления безопасности 823980 (MS03-026) и 824146 (MS03-039)
Вы можете также определить, установлено ли обновление для системы безопасности на компьютер, воспользовавшись средством Microsoft Baseline Security Analyzer (MBSA), сравнив версии установленных на компьютере файлов с версиями, указанными в разделе «Сведения о файлах», или проверив, имеется ли в реестре следующий раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Hotfix\Q823980
Дополнительные сведения о средстве Microsoft Baseline Security Analyzer (MBSA) см. в следующей статье базы знаний Майкрософт:
320454 Средство Microsoft Baseline Security Analyzer (MBSA) версии 1.2.1
Сведения о развертывании
Чтобы установить обновление для системы безопасности без вмешательства пользователя, введите следующую команду:
Q823980i /q
Чтобы установить обновление для системы безопасности без перезапуска компьютера, введите следующую команду:
Q823980i /z
Примечание. Все эти параметры можно использовать в одной команде.

Дополнительные сведения о развертывании этого обновления для системы безопасности с помощью служб Software Update Services см. на веб-узле Майкрософт по адресу:
Необходимость перезагрузки
После установки обновления для системы безопасности необходимо перезагрузить компьютер.
Сведения об удалении
Чтобы удалить обновление для системы безопасности, воспользуйтесь средством панели управления «Установка и удаление программ».

Кроме того, для удаления этого обновления системные администраторы могут использовать программу Spuninst.exe. Она расположена в папке %Windir%\$NTUninstallKB823980$\Spuninst. Программа Spuninst.exe поддерживает следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезагружать компьютер после завершения установки.
  • /q Скрытый режим (без отображения пользовательского интерфейса).
Сведения о замене обновления для системы безопасности
На компьютерах, работающих под управлением операционной системы Windows 4.0, это обновление для системы безопасности заменяет обновление, содержащееся в бюллетене безопасности MS01-048.

Данное обновление для системы безопасности заменено на 824146 (MS03-039). Дополнительные сведения об обновлении для системы безопасности 824146 (MS03-039) см. в следующей статье базы знаний Майкрософт:
824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
Сведения о файлах
Английская версия исправления содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время указаны в формате единого всемирного времени (UTC). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.

Windows NT 4.0 Server:
   Дата         Время     Версия            Размер   Имя файла   --------------------------------------------------------------   05-июл-2003  05:26:00  4.0.1381.7224     701 200  Ole32.dll   05-июл-2003  05:26:00  4.0.1381.7219     345 872  Rpcrt4.dll   05-июл-2003  05:26:00  4.0.1381.7224     107 280  Rpcss.exe
Windows NT 4.0 Server, Terminal Server Edition
   Дата         Время     Версия            Размер   Имя файла   --------------------------------------------------------------   07-июл-2003  03:29:00  4.0.1381.33549    701 712  Ole32.dll   07-июл-2003  03:29:00  4.0.1381.33474    345 360  Rpcrt4.dll   07-июл-2003  03:29:00  4.0.1381.33549    109 328  Rpcss.exe
Чтобы проверить правильность установки обновления для системы безопасности, убедитесь, что на компьютере имеются все перечисленные в таблице файлы.
Временное решение
Хотя корпорация Майкрософт рекомендует всем своим заказчикам как можно скорее установить обновление для системы безопасности, имеется несколько временных решений, позволяющих избежать опасности.

Однако следует помнить, что это временные меры. Они обеспечивают лишь частичную защиту, но не устраняют основной уязвимости.

В этом разделе описано несколько способов защиты компьютера от атаки злоумышленников. Выбор решения зависит от конфигурации компьютера и функций, которые он должен выполнять.
  • Заблокируйте UDP-порты 135, 137, 138 и 445, TCP-порты 135, 139, 445 и 593 с помощью брандмауэра, а также отключите COM-службы Интернета (CIS) и RPC через HTTP, которые ведут прослушивание портов 80 и 443 на зараженных машинах. Эти порты используются для создания RPC-подключения к удаленному компьютеру. Блокировка этих портов с помощью брандмауэра позволяет защитить системы от атаки, связанной с этими уязвимыми местами. Кроме того, необходимо закрыть все остальные RPC-порты удаленного компьютера, которые были специально настроены.

    Если службы CIS и RPC через HTTP включены, они разрешают осуществлять вызовы DCOM через TCP-порты 80 (и 443 в Windows XP и Windows Server 2003). Убедитесь, что на всех компьютерах, которым угрожает опасность, службы CIS и RPC через HTTP отключены. Дополнительные сведения об отключении COM-служб Интернета см. в следующей статье базы знаний Майкрософт:
    825819 Как удалить COM-службы Интернета и службы RPC через поддержку прокси-серверов HTTP (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
    Дополнительные сведения о работе службы RPC через HTTP см. на следующем веб-узле Майкрософт: Кроме того, пользователи могли настроить использующие удаленный вызов процедур (RPC) службы и протоколы, которые также доступны из Интернета. Всем системным администраторам настоятельно рекомендуется проверить доступные из Интернета RPC-порты и закрыть их с помощью брандмауэра или как можно быстрее установить обновление.
  • С помощью брандмауэра подключения к Интернету отключите COM-службы Интернета (CIS) и RPC через HTTP, которые ведут прослушивание портов 80 и 443, представляющих для компьютеров угрозу. Если для защиты подключения к Интернету в операционных системах Windows XP или Windows Server 2003 используется брандмауэр подключения к Интернету, он по умолчанию будет блокировать весь поступающий из Интернета по протоколу RPC трафик. Убедитесь, что на всех компьютерах, которым угрожает опасность, службы CIS и RPC через HTTP отключены. Дополнительные сведения об отключении COM-служб Интернета см. в следующей статье базы знаний Майкрософт:
    825819 Как удалить COM-службы Интернета и службы RPC через поддержку прокси-серверов HTTP (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
    Дополнительные сведения о работе службы RPC через HTTP см. на следующем веб-узле Майкрософт:
  • На всех компьютерах, которым угрожает опасность, заблокируйте представляющие угрозу порты с помощью фильтра IPSEC и отключите COM-службы Интернета (CIS) и службу RPC через HTTP, которые ведут прослушивание портов 80 и 443. Для защиты обмена данным по сети между компьютерами под управлением Windows 2000 можно использовать протокол IPSec (Internet Protocol Security). Дополнительные сведения о протоколе IPSec и применении фильтров см. в следующих статьях базы знаний Майкрософт.
    313190 Использование списка IP-фильтров IPSec в Windows 2000
    813878 Блокирование определенных сетевых протоколов и портов с помощью IPSec
    Убедитесь, что на всех компьютерах, которым угрожает опасность, службы CIS и RPC через HTTP отключены. Дополнительные сведения об отключении COM-служб Интернета см. в следующей статье базы знаний Майкрософт:
    825819 Как удалить COM-службы Интернета и службы RPC через поддержку прокси-серверов HTTP (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  • Отключите DCOM на всех компьютерах, которым угрожает опасность. На компьютерах, подключенных к сети, протокол связи DCOM позволяет COM-объектам на различных компьютерах взаимодействовать между собой.

    Чтобы защитить компьютер, отключите на нем DCOM, но при этом объекты этого компьютера не смогут взаимодействовать с объектами других компьютеров. После отключения протокола DCOM на удаленном компьютере вы уже не сможете удаленно подключить его заново. Теперь для его подключения вам потребуется физический доступ к компьютеру. Дополнительные сведения об отключении DCOM см. в следующей статье базы знаний Майкрософт:
    825750 Отключение поддержки DCOM в Windows
    Примечание. При использовании операционной системы Windows 2000 описанные в статье базы знаний Майкрософт 825750 способы отключения протокола DCOM применимы только для компьютеров, на которых установлен пакет обновления 3 (SP3) для Windows 2000 или более поздней версии. Пользователи пакета обновления 2 (SP2) или более ранней версии должны сначала установить более позднюю версию пакета обновления или применять другой способ временного решения проблемы.
Статус
Данное поведение является подтвержденной уязвимостью продуктов Майкрософт, перечисленных в начале данной статьи.
Дополнительная информация
Дополнительные сведения о данной уязвимости см. на веб-узле корпорации Майкрософт по следующему адресу: Для получения дополнительных сведений о безопасности RPC для клиентов и серверов посетите следующий веб-узел корпорации Майкрософт: Для получения дополнительных сведений о портах, используемых RPC, посетите следующий веб-узел корпорации Майкрософт: Дополнительные сведения о компьютерном вирусе-черве Blaster, использующем уязвимость, для устранения которой было выпущено это обновление для системы безопасности, см. в следующей статье базы знаний Майкрософт:
826955 Сообщение о черве W32.Blaster.Worm и его разновидностях
Дополнительные сведения о компьютерном вирусе-черве Nachi, использующем уязвимость, для устранения которой было выпущено это обновление для системы безопасности, см. в следующей статье базы знаний Майкрософт:
826234 Сообщение о черве Nachi
Дополнительные сведения о получении исправления для Windows 2000 Datacenter Server см. в следующей статье базы знаний Майкрософт:
265173 Партнерская программа Windows Datacenter Program и операционная система Microsoft Windows 2000 Datacenter Server
security_patch
Свойства

Номер статьи: 823980 — последний просмотр: 02/16/2007 09:36:24 — редакция: 18.3

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • kbhotfixserver atdownload kbwinxpsp2fix kbbug kbfix kbsecvulnerability kbsecbulletin kbsecurity kbqfe kbwinserv2003presp1fix kbwinxppresp2fix kbwinnt400presp7fix KB823980
Отзывы и предложения