MS01-037:SMTP 服务中的身份验证错误可能允许邮件中继转发

本文的发布号曾为 CHS302755
本文已归档。它按“原样”提供,并且不再更新。
症状
Windows 2000 SMTP 服务中存在安全漏洞,利用这个漏洞,未经授权的用户能够使用 Windows 2000 服务器进行邮件中继转发。通过这种手段,攻击者能够伪装电子邮件信息的发出位置,或者占有服务器的资源发送大量邮件。这种安全漏洞受以下约束的限制:
  • 它只影响运行本机 Windows 2000 邮件服务的服务器。运行 Microsoft Exchange(即使在 Windows 2000 上)的邮件服务器不会受到影响。
  • 即使计算机安装了本机 Windows 2000 邮件服务,它也只有在被配置为独立计算机而不是域成员时才会受到影响。
  • 正确使用防火墙可以防止 Internet 用户暴露安全漏洞。
原因
此安全漏洞产生的原因是作为 Microsoft Internet 信息服务 (IIS) 的一部分安装的 SMTP 服务中的身份验证错误。当服务器是独立计算机而不是域成员时,未经授权的用户有可能通过计算机的身份验证,从而利用它进行邮件中继转发。
解决方案
要解决此问题,可获取本节中提到的修补程序或 Windows 2000 Security Rollup Package 1 (SRP1)。有关 SRP1 的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
311401 Windows 2000 Security Rollup Package 1 (SRP1), January 2002(Windows 2000 Security Rollup Package 1 (SRP1),2002 年 1 月)
要解决此问题,请获取 Windows 2000 的最新 Service Pack。有关其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
260910如何获得最新的 Windows 2000 Service Pack
可以从 Microsoft 下载中心下载下列文件:
发行日期:2001 年 7 月 5 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
119591 How to Obtain Microsoft Support Files from Online Services(如何从联机服务获取 Microsoft 支持文件)
Microsoft 已对此文件进行了病毒扫描。在发表当日 Microsoft 使用了最新的病毒检测软件以扫描此文件是否有病毒。此文件保存在安全服务器上,以防对它进行任何未经授权的更改。

该修补程序的英文版应具有如下文件属性或更新的属性:
日期       时间   版本        大小     文件名   --------------------------------------------------------6/25/2001   08:13p   5.0.2195.3712   320,784   Aqueue.dll6/25/2001   08:13p   5.0.2195.3712    66,832   Mailmsg.dll6/25/2001   08:13p   5.0.2195.3649    38,160   Ntfsdrv.dll6/25/2001   08:13p   5.0.2195.3779   434,448   Smtpsvc.dll 

状态
Microsoft 已证实此问题可能会在 Microsoft Windows 2000 中产生一定程度的安全问题。 此问题最先是在 Windows 2000 Service Pack 3 中更正的。
更多信息
有关此漏洞的更多信息,请访问以下 Microsoft Web 站点: 有关如何获得 Windows 2000 Datacenter Server 修补程序的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
265173Datacenter 程序和 Windows 2000 Datacenter Server 产品
有关如何在重新启动一次的情况下安装多个修补程序的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
296861 Use QChain.exe to Install Multiple Hotfixes with One Reboot(使用 QChain.exe 在重启一次的情况下安装多个修补程序)
kbMgmtAdmin security_patch kbWin2000srp1
属性

文章 ID:302755 - 上次审阅时间:10/24/2013 06:59:50 - 修订版本: 3.0

  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • kbnosurvey kbarchive kbbug kbfix kbwin2000presp3fix kbsecvulnerability kbtool kbqfe kbsysadmin kbwin2000sp3fix kbenv kbsecurity kbsechack kbhotfixserver KB302755
反馈