MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program

Teknisk uppdatering


Obs! Den här bulletinen (MS03-039) har ersatts av Microsoft-säkerhetsbulletinen MS04-012.

Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
828741 MS04-012: Kumulativ uppdatering för Microsoft RPC/DCOM

  • 12 september 2003:
    • I "Information om hämtning" för Windows XP har en anmärkning lagts till som anger att säkerhetskorrigeringen för Windows XP 64-bitarsutgåva, version 2003, är samma som säkerhetskorrigeringen för 64-bitarsversioner av Windows Server 2003.
    • I "Filinformation" för Windows XP har registreringsinformation lagts till för filmanifesten för 64-bitarsutgåvor av Windows XP och för Windows XP utan Service Pack 1 (SP1).
    • I "Filinformation" har en anmärkning lagts till om att registernyckeln för filmanifesten för den här säkerhetskorrigeringen inte skapas när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) den här säkerhetskorrigeringen i källfilerna för Windows-installationen.
    • I "Installationsinformation" för Windows Server 2003 och Windows XP har en anmärkning lagts till om att MBSA Version 1.1.1 felaktigt rapporterar att 824146 inte har installerats, om RTMQFE-versionerna av filerna i den här säkerhetskorrigeringen används på datorer med Windows Server 2003 eller Windows XP 64-bitarsutgåva version 2003.
    • Avsnitten "Information om hämtning" och "Förutsättningar" för Windows 2000 har uppdaterats och anger att den här säkerhetskorrigeringen kan installeras i Windows 2000 Datacenter Server Service Pack 3 (SP3) och Service Pack 4 (SP4).

Symptom

RPC (Remote Procedure Call) är ett protokoll som används i Windows. Det innehåller en funktion för kommunikation mellan processer, som gör att kod från ett program som körs på en dator utan problem får tillgång till tjänster på en annan dator. Själva protokollet kommer från RPC-protokollet från OSF (Open Software Foundation), men det finns vissa Microsoft-specifika tillägg.

I den del av Windows RPC-tjänsten (RPCSS) där RPC-meddelanden för DCOM-aktivering behandlas har tre säkerhetsproblem identifierats. Två av säkerhetsproblemen kan ge en angripare möjlighet att köra skadliga program, och det tredje problemet kan medföra en DoS-attack. Dessa fel beror på felaktig hantering av meddelanden med felaktigt format. Dessa säkerhetsproblem påverkar DCOM-gränssnittet (Distributed Component Object Model) i RPCSS. I detta gränssnitt hanteras aktiveringsbegäranden för DCOM-objekt från klientdatorer till servern.

En angripare skulle kunna utnyttja dessa säkerhetsproblem för att köra kod med behörigheten för Lokalt system eller orsaka att RPCSS upphör att fungera. Angriparen skulle sedan kunna utföra valfria åtgärder på datorn, till exempel installera program, visa data, ändra data, ta bort data eller skapa nya konton med fullständig behörighet.

En angripare skulle kunna utnyttja dessa säkerhetsproblem genom att skapa ett program för att skicka RPC-meddelanden med felaktigt format till RPCSS på en server.

Begränsande faktorer

Obs! Microsoft har kontrollerat om Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP och Windows Server 2003 berörs av dessa säkerhetsproblem. De funktioner som berörs av säkerhetsproblemen finns inte i Microsoft Windows Millennium Edition (ME). Tidigare versioner av Windows stöds inte längre och kan eventuellt påverkas av dessa säkerhetsproblem. Ytterligare information om Microsofts supportlivscykel finns på följande Microsoft-webbplats: Obs! De funktioner som berörs av dessa säkerhetsproblem ingår inte heller i Microsoft Windows 95, Microsoft Windows 98 eller Microsoft Windows 98, andra utgåvan, även om DCOM är installerat.

Lösning

Information om säkerhetskorrigeringen

Om du vill veta hur du löser detta säkerhetsproblem kan du klicka på någon av följande länkar:

Windows Server 2003 (alla versioner)

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:


Windows Server 2003, Enterprise Edition; Windows Server 2003, Standard Edition; Windows Server 2003, Web Edition, och Windows Server 2003, Datacenter Edition Windows Server 2003, 64-bitars Enterprise Edition och Windows Server 2003, 64-bitars Datacenter Edition Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna säkerhetskorrigering kräver den utgivna versionen av Windows Server 2003.

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn.
Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)

Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig

Obs! I MBSA Version 1.1.1 rapporteras felaktigt att 824146 inte har installerats, om RTMQFE-versionerna av filerna för den här säkerhetskorrigeringen används i miljön.

Du kan kanske också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windowsserver2003-kb824146-x86-enu /u /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windowsserver2003-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Microsoft Software Update Services finns på följande Microsoft-webbplats:

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort uppdateringen med verktyget Lägg till eller ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, som finns i mappen %Windir%\$NTUninstallKB824146$\Spuninst och stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980).
Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.


Windows Server 2003, Enterprise Edition, Windows Server 2003, Standard Edition, Windows Server 2003, Web Edition och Windows Server 2003, Datacenter Edition:

Datum Tid Version Storlek Filnamn Mapp
--------------------------------------------------------------
23-aug-2003 18:56 5.2.3790.80 1 183 744 Ole32.dll RTMGDR
23-aug-2003 18:56 5.2.3790.76 657 920 Rpcrt4.dll RTMGDR
23-aug-2003 18:56 5.2.3790.80 284 672 Rpcss.dll RTMGDR
23-aug-2003 18:48 5.2.3790.80 1 183 744 Ole32.dll RTMQFE
23-aug-2003 18:48 5.2.3790.76 658 432 Rpcrt4.dll RTMQFE
23-aug-2003 18:48 5.2.3790.80 285 184 Rpcss.dll RTMQFE
Windows Server 2003, 64-bitars Enterprise Edition och Windows Server 2003, 64-bitars Datacenter Edition:

Datum Tid Version Storlek Filnamn Plattform Mapp
-------------------------------------------------------------------------
23-aug-2003 18:56 5.2.3790.80 3 551 744 Ole32.dll IA64 RTMGDR
23-aug-2003 18:56 5.2.3790.76 2 127 872 Rpcrt4.dll IA64 RTMGDR
23-aug-2003 18:56 5.2.3790.80 665 600 Rpcss.dll IA64 RTMGDR
23-aug-2003 18:56 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-aug-2003 18:56 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
23-aug-2003 18:48 5.2.3790.80 3 551 232 Ole32.dll IA64 RTMQFE
23-aug-2003 18:48 5.2.3790.76 2 128 384 Rpcrt4.dll IA64 RTMGDR
23-aug-2003 18:48 5.2.3790.80 666 624 Rpcss.dll IA64 RTMGDR
23-aug-2003 18:48 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-aug-2003 18:48 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
Obs! När denna säkerhetskorrigering installeras på en dator med Windows Server 2003 eller Windows XP 64-bitarsutgåva version 2003, kontrolleras automatiskt om några av de filer som uppdateras på datorn tidigare har uppdaterats med en snabbkorrigering från Microsoft. Om du tidigare har installerat en snabbkorrigering för att uppdatera någon av dessa filer kopieras RTMQFE-filerna till datorn. Annars kopieras RTMGDR-filerna till datorn.
Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

824994 Beskrivning av innehållet i programuppdateringspaket för Windows XP Service Pack 2 och Windows Server 2003 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigeringen 824146 i källfilerna för Windows-installationen.

Windows XP (alla versioner)

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:


Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition och Windows XP Media Center EditionWindows XP 64-bitarsutgåva version 2002Windows XP 64-bitarsutgåva version 2003Obs! För Windows XP 64-bitarsutgåva, version 2003, är den här säkerhetskorrigeringen samma som säkerhetskorrigeringen för 64-bitarsversioner av Windows Server 2003.
Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna säkerhetskorrigering kräver den utgivna versionen av Windows XP eller Windows XP Service Pack 1 (SP1). Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
322389 Skaffa den senaste Service Pack-versionen för Windows XP
Installationsinformation
Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn.
Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)

Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig

Obs! I MBSA Version 1.1.1 rapporteras felaktigt att 824146 inte har installerats, om RTMQFE-versionerna av filerna för den här säkerhetskorrigeringen används på en dator med Windows XP 64-bitarsutgåva, version 2003.

Du kan också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:

Windows XP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146
Windows XP med Service Pack 1 (SP1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146
Windows XP 64-bitarsutgåva, version 2003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windowsxp-kb824146-x86-enu /u /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windowsxp-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort korrigeringsfilen med verktyget Lägg till eller ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, som finns i mappen %Windir%\$NTUninstallKB824146$\Spuninst och stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980).
Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.


Windows XP Home Edition, Windows XP Professional, Windows XP Tablet PC Edition och Windows XP Media Center Edition:

Datum Tid Version Storlek Filnamn
-------------------------------------------------------------------
25-aug-2003 22:29 5.1.2600.118 1 093 632 Ole32.dll (utan SP1)
25-aug-2003 22:29 5.1.2600.109 439 296 Rpcrt4.dll (utan SP1)
25-aug-2003 22:29 5.1.2600.118 204 288 Rpcss.dll (utan SP1)
25-aug-2003 18:53 5.1.2600.1263 1 172 992 Ole32.dll (med SP1)
25-aug-2003 18:53 5.1.2600.1254 532 480 Rpcrt4.dll (med SP1)
25-aug-2003 18:53 5.1.2600.1263 260 608 Rpcss.dll (med SP1)
Windows XP 64-bitarsutgåva version 2002:

Datum Tid Version Storlek Filnamn Plattform
--------------------------------------------------------------------------
25-aug-2003 19:30 5.1.2600.118 4 195 840 Ole32.dll IA64 (utan SP1)
25-aug-2003 19:30 5.1.2600.109 2 025 472 Rpcrt4.dll IA64 (utan SP1)
25-aug-2003 19:30 5.1.2600.118 741 888 Rpcss.dll IA64 (utan SP1)
20-aug-2003 18:16 5.1.2600.118 1 093 632 Wole32.dll x86 (utan SP1)
02-jan-2003 23:06 5.1.2600.109 440 320 Wrpcrt4.dll x86 (utan SP1)
27-aug-2003 18:12 5.1.2600.1263 4 296 192 Ole32.dll IA64 (med SP1)
27-aug-2003 18:12 5.1.2600.1254 2 298 880 Rpcrt4.dll IA64 (med SP1)
27-aug-2003 18:12 5.1.2600.1263 742 400 Rpcss.dll IA64 (med SP1)
27-aug-2003 17:27 5.1.2600.1263 1 172 992 Wole32.dll x86 (med SP1)
02-aug-2003 22:14 5.1.2600.1254 506 880 Wrpcrt4.dll x86 (med SP1)
Windows XP 64-bitarsutgåva version 2003:

Datum Tid Version Storlek Filnamn Plattform Mapp
-------------------------------------------------------------------------
23-aug-2003 18:56 5.2.3790.80 3 551 744 Ole32.dll IA64 RTMGDR
23-aug-2003 18:56 5.2.3790.76 2 127 872 Rpcrt4.dll IA64 RTMGDR
23-aug-2003 18:56 5.2.3790.80 665 600 Rpcss.dll IA64 RTMGDR
23-aug-2003 18:56 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-aug-2003 18:56 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
23-aug-2003 18:48 5.2.3790.80 3 551 232 Ole32.dll IA64 RTMQFE
23-aug-2003 18:48 5.2.3790.76 2 128 384 Rpcrt4.dll IA64 RTMGDR
23-aug-2003 18:48 5.2.3790.80 666 624 Rpcss.dll IA64 RTMGDR
23-aug-2003 18:48 5.2.3790.80 1 183 744 Wole32.dll x86 RTMGDR
23-aug-2003 18:48 5.2.3790.76 539 648 Wrpcrt4.dll x86 RTMGDR
Obs!
  • När säkerhetskorrigeringen för Windows XP 64-bitarsutgåva version 2003 installeras, kontrolleras automatiskt om några av de filer som uppdateras på datorn tidigare har uppdaterats med en snabbkorrigering från Microsoft. Om du tidigare har installerat en snabbkorrigering för att uppdatera någon av dessa filer kopieras RTMQFE-filerna till datorn. Annars kopieras RTMGDR-filerna till datorn.
    Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

    824994 Beskrivning av innehållet i programuppdateringspaket för Windows XP Service Pack 2 och Windows Server 2003 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

  • Versionerna av denna säkerhetskorrigering för Windows XP och Windows XP 64-bitarsutgåva version 2002 är förpackade som paket för dubbla lägen. Paket för dubbla lägen innehåller filer för både den ursprungliga versionen av Windows XP och Windows XP Service Pack 1 (SP1).
    Om du vill veta mer om paket för dubbla lägen klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    328848 Beskrivning av uppdateringspaket för dubbla lägen för Windows XP (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernycklar:

Windows XP Home Edition SP1; Windows XP Professional SP1; Windows XP 64-bitarsutgåva, version 2002 SP1; Windows XP Tablet PC Edition; Windows XP Media Center Edition:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824146\Filelist
Windows XP Home Edition; Windows XP Professional; Windows XP 64-bitarsutgåva, version 2002:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824146\Filelist
Windows XP 64-bitarsutgåva, version 2003:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB824146\Filelist
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigering 824146 i källfilerna för Windows-installationen.
Lös problemet genom att hämta Samlad uppdatering 1 för Windows 2000 SP4. Om du vill veta mer om hur du gör klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
891861 Samlad uppdatering 1 för Windows 2000 SP4 och kända problem

Windows 2000

Information om hämtning

Följande fil kan hämtas från Microsoft Download Center:

Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.


Förutsättningar

För Windows 2000 Datacenter Server kräver denna säkerhetskorrigering Service Pack 3 (SP3). För andra versioner av Windows 2000 kräver denna säkerhetskorrigering Service Pack 2 (SP2), Service Pack 3 (SP3) eller Service Pack 4 (SP4).


Obs! Windows 2000 Service Pack 2 har nått slutet av sin livscykel, vilket tidigare har dokumenterats, och Microsoft tillhandahåller normalt inte allmänt tillgängliga säkerhetskorrigeringar för denna produkt. På grund av att säkerhetsproblemet har särskilda egenskaper, livscykeln har nått sitt slut alldeles nyligen och många kunder för närvarande använder Windows 2000 Service Pack 2 har Microsoft beslutat att göra ett undantag för detta säkerhetsproblem.

Microsoft har inte för avsikt att göra samma sak för framtida säkerhetsproblem men förbehåller sig rätten att ta fram säkerhetskorrigeringar vid behov och göra dem tillgängliga. Microsoft uppmanar kunder med Windows 2000 Service Pack 2 att byta till Windows-versioner som stöds för att undvika framtida säkerhetsproblem. Mer information om livscykeln för Windows-produkter finns på följande Microsoft-webbplats: Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
260910 Skaffa den senaste Service Pack-versionen för Windows 2000

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /n: Säkerhetskopiera inte filer som ska tas bort.
  • /o: Skriv över OEM-filer utan att någon fråga behöver besvaras.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn.
Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)

Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig

Du kan också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windows2000-kb824146-x86-enu /u /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windows2000-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort denna säkerhetskorrigering med verktyget Lägg till/ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort säkerhetskorrigeringen med verktyget Spuninst.exe, som finns i mappen %Windir%\$NTUninstallKB824146$\Spuninst och stöder följande installationsväxlar:
  • /?: Visa listan över installationsväxlar.
  • /u: Använd oövervakat läge.
  • /f: Tvinga andra program att avslutas när datorn stängs av.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst läge (inga användaråtgärder).

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980).
Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.

Datum Tid Version Storlek Filnamn
------------------------------------------------------
23-aug-2003 18:48 5.0.2195.6810 945 936 Ole32.dll
23-aug-2003 18:48 5.0.2195.6802 432 912 Rpcrt4.dll
23-aug-2003 18:48 5.0.2195.6810 192 272 Rpcss.dll
Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB824146\Filelist
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigeringen 824146 i källfilerna för Windows-installationen.

Windows NT 4.0 (alla versioner)

Information om hämtning

Följande filer kan hämtas från Microsoft Download Center:


Windows NT Workstation 4.0 Windows NT Server 4.0 Windows NT Server 4.0, Terminal Server Edition Utgivningsdatum: 10 september 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna säkerhetskorrigering kräver Windows NT Server 4.0 Service Pack 6a (SP6a), Windows NT Workstation 4.0 Service Pack 6a (SP6a) eller Windows NT Server 4.0, Terminal Server Edition, Service Pack 6 (SP6).

Obs! Windows NT Workstation 4.0 har nått slutet av sin livscykel, vilket tidigare har dokumenterats, och Microsoft tillhandahåller normalt inte allmänt tillgängliga säkerhetskorrigeringar för denna produkt. På grund av säkerhetsproblemets karaktär samt det faktum att livscykeln har nått sitt slut alldeles nyligen och att många kunder för närvarande använder Windows 4.0 Service Pack 2, har Microsoft beslutat att göra ett undantag för detta säkerhetsproblem.

Microsoft har inte för avsikt att göra samma sak för framtida säkerhetsproblem men förbehåller sig rätten att ta fram säkerhetskorrigeringar vid behov och göra dem tillgängliga. Microsoft uppmanar kunder med Windows NT Workstation 4.0 att byta till Windows-versioner som stöds för att inte utsättas för framtida säkerhetsproblem. Mer information om livscykeln för Windows-produkter finns på följande Microsoft-webbplats: Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
152734 Skaffa den senaste Service Pack-versionen för Windows NT 4.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
  • /y : Utför borttagning (endast med /m eller /q).
  • /f: Tvinga program att avslutas under avslutningsprocessen.
  • /n: Skapa inte en avinstallationsmapp.
  • /z: Starta inte om när uppdateringen är klar.
  • /q : Använd tyst eller oövervakat läge utan användargränssnitt (denna växel inbegriper /m).
  • /m : Använd oövervakat läge med användargränssnitt.
  • /l: Visa en lista över installerade snabbkorrigeringar.
  • /x: Extrahera filerna utan att installationsprogrammet körs.
Använd sökverktyget KB 824146 (KB824146scan.exe) eller MBSA-verktyget (Microsoft Baseline Security Analyzer) för att kontrollera att säkerhetskorrigeringen är installerad på datorn.
Om du vill veta mer om KB824146scan.exe klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
827363 Använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigeringarna 823980 (MS03-026) och 824146 (MS03-039)

Om du vill veta mer om MBSA klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

320454 Microsoft Baseline Security Analyzer (MBSA) version 1.2.1 är tillgänglig

Du kan också kontrollera att säkerhetskorrigeringen är installerad genom att se efter om följande registernyckel finns:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146

Information om distribution

Om du vill installera säkerhetskorrigeringen utan några åtgärder från användaren använder du följande kommandorad:
Windowsnt4server-kb824146-x86-enu /q
Om du vill installera korrigeringsfilen utan att datorn måste startas om använder du följande kommandorad:
Windowsnt4server-kb824146-x86-enu /z
Obs! Du kan kombinera dessa växlar till en enda kommandorad.

Information om hur du distribuerar denna säkerhetskorrigering med Software Update Services finns på följande Microsoft-webbplats:

Krav på omstart

Du måste starta om datorn efter att ha installerat denna säkerhetskorrigering.

Information om borttagning

Ta bort denna säkerhetskorrigering med verktyget Lägg till/ta bort program på Kontrollpanelen.

Systemadministratörer kan ta bort denna säkerhetskorrigering med verktyget Hotfix.exe. Hotfix.exe finns i mappen %Windir%\$NTUninstallKB824146$. Verktyget stöder följande installationsväxlar:
  • /y : Utför borttagning (endast med växeln /m eller /q).
  • /f: Tvinga program att avslutas under avslutningsprocessen.
  • /n: Skapa inte en avinstallationsmapp.
  • /z: Starta inte om datorn när installationen är klar.
  • /q : Använd tyst eller oövervakat läge utan användargränssnitt (denna växel inbegriper växeln /m).
  • /m : Använd oövervakat läge med användargränssnitt.
  • /l: Visa en lista över installerade snabbkorrigeringar.

Ersättningsinformation

Denna säkerhetskorrigering ersätter MS03-026 (823980).
Om du vill veta mer om MS03-026 (823980) klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Filinformation

Den engelska versionen av den här snabbkorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.


Windows NT Server 4.0:

Datum Tid Version Storlek Filnamn
------------------------------------------------------
11-aug-2003 11:29 4.0.1381.7230 701 200 Ole32.dll
11-aug-2003 11:29 4.0.1381.7230 345 872 Rpcrt4.dll
11-aug-2003 11:29 4.0.1381.7230 107 792 Rpcss.exe
Windows NT Server 4.0, Terminal Server Edition:

Datum Tid Version Storlek Filnamn
-------------------------------------------------------
11-aug-2003 12:30 4.0.1381.33551 701 712 Ole32.dll
11-aug-2003 12:14 4.0.1381.33551 345 360 Rpcrt4.dll
11-aug-2003 12:30 4.0.1381.33551 109 328 Rpcss.exe
Windows NT Workstation 4.0:

Datum Tid Version Storlek Filnamn
------------------------------------------------------
11-aug-2003 11:29 4.0.1381.7230 701 200 Ole32.dll
11-aug-2003 11:29 4.0.1381.7230 345 872 Rpcrt4.dll
11-aug-2003 11:29 4.0.1381.7230 107 792 Rpcss.exe
Du kan eventuellt även kontrollera vilka filer som har installerats med denna säkerhetskorrigering genom att granska följande registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB824146\File 1
Obs! Den här registernyckeln skapas kanske inte på rätt sätt när en administratör eller OEM-tillverkare integrerar eller lägger till (slipstream) säkerhetskorrigeringen 824146 i källfilerna för Windows-installationen.

Workaround

Även om Microsoft uppmanar alla kunder att installera säkerhetskorrigeringen så snart som möjligt, finns det flera sätt att tillfälligt förhindra att säkerhetsproblemet utnyttjas. Det finns inga garantier för att dessa lösningar blockerar alla angreppsvägar.

Obs! Dessa lösningar är tillfälliga åtgärder, eftersom de bara bidrar till att blockera angreppsvägar i stället för att undanröja det underliggande säkerhetsproblemet.
  • Blockera UDP-portarna 135, 137, 138 och 445 samt TCP-portarna 135, 139, 445 och 593 i brandväggen. Inaktivera också CIS (COM Internet Services) och RPC via HTTP. CIS och RPC via HTTP lyssnar på portarna 80 och 443 på de aktuella datorerna.

    Dessa portar används för att initiera en RPC-anslutning till en fjärrdator. Om de blockeras i brandväggen kan det förhindra att dessa säkerhetsproblem utnyttjas för angrepp på datorer bakom brandväggen. Blockera också alla andra särskilt konfigurerade RPC-portar på fjärrdatorn.

    Om CIS och RPC via HTTP aktiveras kan DCOM-anrop fungera via TCP-port 80 (och port 443 i Windows XP och Windows Server 2003). Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer.
    Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)

    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
  • Använd Brandvägg för Internet-anslutning, och inaktivera CIS (COM Internet Services) och RPC via HTTP. CIS och RPC via HTTP lyssnar på portarna 80 och 443 på de aktuella datorerna.

    Om du använder Brandvägg för Internet-anslutning i Windows XP eller Windows Server 2003 för att skydda Internet-anslutningen, blockeras som standard inkommande RPC-trafik från Internet.

    Obs! Brandvägg för Internet-anslutning finns i Windows XP, Windows Server 2003, Standard Edition, och Windows Server 2003, Enterprise Edition. Basic Firewall är en del av Routning och fjärråtkomst som kan aktiveras för alla offentliga gränssnitt på en dator med både Routning och fjärråtkomst och Windows Server 2003.

    Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer. Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)

    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
  • Blockera de aktuella portarna med hjälp av ett IPSec-filter (Internet Protocol Security) samt inaktivera CIS (COM Internet Services) och RPC via HTTP. CIS och RPC via HTTP lyssnar på portarna 80 och 443 på de aktuella datorerna.

    Säkerheten i nätverkskommunikation på datorer med Windows 2000 kan ökas med hjälp av IPSec.
    Om du vill veta mer om IPSec och användning av IP-filterlistor i Windows 2000 klickar du på artikelnumren nedan och läser artiklarna i Microsoft Knowledge Base:
    313190 Använda IPSec-IP-filterlistor i Windows 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

    813878 Blockera vissa nätverksprotokoll och portar med hjälp av IPSec (Länken kan leda till en webbplats som är helt eller delvis på engelska)

    Se till att CIS och RPC via HTTP är inaktiverat på alla aktuella datorer.
    Om du vill veta mer om hur du inaktiverar CIS klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825819 Ta bort stöd för CIS (COM Internet Services) och RPC via HTTP-proxy (Länken kan leda till en webbplats som är helt eller delvis på engelska)

    Ytterligare information om RPC via HTTP finns på följande Microsoft-webbplats:
  • Inaktivera DCOM på alla aktuella datorer. När en dator ingår i ett nätverk gör DCOM-protokollet att COM-objekt på datorn kan kommunicera med COM-objekt på andra datorer.

    Du kan inaktivera DCOM på en dator som skydd mot detta säkerhetsproblem, men då inaktiveras all kommunikation mellan objekt på denna dator och objekt på andra datorer. Om du inaktiverar DCOM på en fjärrdator kan du inte fjärransluta till denna dator för att åter aktivera DCOM. För att kunna aktivera DCOM igen måste du ha fysisk tillgång till datorn.
    Om du vill veta mer om hur du inaktiverar DCOM klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    825750 Inaktivera DCOM-stöd i Windows (Länken kan leda till en webbplats som är helt eller delvis på engelska)

    Obs! För Windows 2000 fungerar metoderna i artikel 825750 i Microsoft Knowledge Base endast på datorer med Service Pack 3 eller senare. Kunder som använder Service Pack 2 eller tidigare måste uppgradera till en senare Service Pack-version eller använda någon av de andra lösningarna.

Status

Microsoft har bekräftat att detta är ett säkerhetsproblem i de Microsoft-produkter som nämns i början av denna artikel.
Det här problemet korrigerades först i Windows 2000 Service Pack 4.

Mer Information

Mer information om detta säkerhetsproblem finns på följande Microsoft-webbplats: Mer information om hur RPC kan säkras för klienter och servrar finns på följande Microsoft-webbplats: Mer information om de portar som används i RPC finns på följande Microsoft-webbplats:
Egenskaper

Artikel-id: 824146 – senaste granskning 16 juni 2009 – revision: 1

Feedback