安全公告

Microsoft 安全公告 MS00-050 - 重要提示

可用于“Telnet 服务器洪水”漏洞的修补程序

发布时间： 2000 年 7 月 24 日

版本： 1.0

最初发布： 2000 年 7 月 24 日

总结

Microsoft 发布了一个修补程序，可消除作为 Microsoft® Windows 2000 一部分随附的 Telnet Server 中的安全漏洞。 该漏洞可能允许恶意用户阻止受影响的计算机提供 Telnet 服务。

受影响的软件：

• Microsoft Windows 2000 Professional
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 高级服务器

常规信息

技术详细信息

技术说明：

在 Microsoft Windows 2000 随附的 Telnet Server 中发现了远程拒绝服务漏洞。 当恶意客户端向服务器发送特定格式不正确的字符串时，可能会发生拒绝服务。

虽然 Telnet 服务作为 Windows 2000 产品的一部分提供，但默认情况下不会启用该服务，并且未启用该服务的客户不会面临风险。 即使在受影响的系统中，漏洞的影响也仅限于 Telnet 本身 -- 无法导致其他服务失败或导致 Windows 2000 失败。

通过重启 Telnet 服务器，可以在攻击后还原 Telnet 服务。

常见问题解答

此公告的内容是什么？
Microsoft 安全公告 MS00-050 宣布了修补程序的可用性，该修补程序消除了 Microsoft® Windows 2000 附带的 Telnet Server 中的漏洞。 Microsoft 致力于保护客户的信息，并提供公告，告知客户漏洞及其可执行的操作。

漏洞的范围是什么？
这是 拒绝服务 漏洞。 恶意用户可以使用漏洞导致受影响计算机上的 Telnet Server 服务停止响应客户端请求。 默认情况下，未在 Windows 2000 上启用 Telnet，并且只有已启用 Telnet 的客户才会面临此漏洞的风险。 该漏洞可用于拒绝 Telnet 服务，但不能用于任何更广泛的攻击，也就是说，它不能用于破坏受影响服务器上的数据、侵占管理控制或影响其他服务。 可以通过重启 Telnet 服务，在受影响的计算机上还原 Telnet 服务。

导致漏洞的原因是什么？
作为 Windows 2000 的一部分随附的 Telnet Server 存在缺陷，当从恶意客户端计算机提供特定格式不正确的输入字符串时，它会导致失败。

什么是 Telnet？
Telnet 是 TCP/IP 协议系列的成员，允许用户在服务器上建立远程会话。 协议仅支持字母数字终端，即它不支持鼠标和其他指向设备，也不支持图形用户界面。 而是必须通过命令行输入所有命令。 有关 Telnet 协议的详细信息，请参阅 https：。 Telnet 协议提供很少的安全性 - Telnet 会话（包括密码）中的所有数据以纯文本形式在客户端和服务器之间传输。 由于这种限制，以及针对允许不受信任的用户访问安全关键服务器的一般建议，Telnet 服务通常仅由旨在公开访问的服务器提供。

Windows 2000 中 Telnet Server 有什么问题？
作为 Windows 2000 产品的一部分提供的 Telnet Server 服务无法正确处理从客户端发送到它的特定格式不正确的输入字符串。 如果受影响的系统收到此类数据，则会导致 Telnet 服务失败。

Telnet 服务失败有什么影响？
如果 Telnet 服务失败，则会导致任何现有的 Telnet 会话失败，同时丢失任何正在进行的工作。 但是，它不会影响系统上的任何其他服务，并且不会影响 Windows 2000 本身。 可以通过重启 Telnet 服务来还原正常操作。

默认情况下，Telnet 是否在 Windows 2000 中运行？
默认情况下，未在标准 Windows 2000 安装上启用 Telnet 服务器服务。

谁可以利用此漏洞？
任何可以将数据发送到受影响计算机的恶意用户都可以利用漏洞。 如果受影响的计算机直接连接到 Internet，则恶意用户可能会利用该漏洞;另一方面，仅在 Intranet 内提供 Telnet 服务的受影响计算机只能受到 Intranet 用户的攻击。

恶意用户是否需要受影响计算机上的有效密码来利用漏洞？
否。 可以将 Telnet 服务器配置为要求用户 ID 和密码，但恶意用户可能会在此处发送无效数据，无论他是否可以成功登录到计算机。

谁应该使用修补程序？
Microsoft 建议在其 Windows 2000 系统上启用 Telnet Server 服务的任何人员都应安装修补程序。

此修补程序是否包含在适用于 Windows 2000 的 Service Pack 1 中？
否。 Windows 2000 Service Pack 1 的开发周期中发现了此漏洞太晚。 但是，它将包含在 Windows 2000 Service Pack 2 中。 同时，客户可以在 Windows 2000 系统预安装修补程序或发布 Service Pack 1（一旦可用）。 如果在 SP1 之前安装了修补程序，则以后决定应用 Service Pack 1 时，将不会覆盖该修补程序。

修补程序的作用是什么？
修补程序通过导致 Windows 2000 Telnet 服务正确处理字符串来消除漏洞。

如何实现使用修补程序？
知识库文章 Q267843 包含将修补程序应用到站点的详细说明。

在哪里可以获取修补程序？
安全公告的“修补程序可用性”部分提供了修补程序的下载位置。

如何判断是否正确安装了修补程序？
知识库文章 Q267843 提供了修补程序包中文件的清单。 验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件，并具有相同的大小和创建日期，如知识库(KB)文章中所示。

Microsoft 对此有何操作？

• Microsoft 提供了一个可消除漏洞的修补程序。
• Microsoft 提供了一份 安全公告 和本常见问题解答，可让客户详细了解漏洞和消除漏洞的过程。
• Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务，这是一项免费的电子邮件服务，客户可以使用该服务随时了解 Microsoft 安全公告。
• Microsoft 发布了一篇 知识库文章，Q267843 文章更详细地介绍了漏洞和过程。

在哪里可以找到有关安全性的最佳做法的详细信息？
Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。

如何实现获得此问题的技术支持？
Microsoft 产品支持服务 可以协助解决此问题或任何其他产品支持问题。

修补程序可用性

下载此修补程序的位置

• Microsoft Windows 2000 所有版本：
  https://www.microsoft.com/download/details.aspx?FamilyId=24468975-8D52-485D-B018-4DA017799788&displaylang;=en

有关此修补程序的其他信息

安装平台：有关此问题的详细信息， 请参阅以下参考。

• Microsoft 知识库（知识库(KB)）一文，Q267843讨论此问题。

其他信息：

支持： 这是完全支持的修补程序。 有关联系 Microsoft 产品支持服务的信息，请参阅 < a0 https://support.microsoft.com/contactussupport/?ws=support/>。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• 2000 年 7 月 24 日：已创建公告。

构建于 2014-04-18T13：49：36Z-07：00</https：>