通过

安全公告

Microsoft 安全公告 MS00-091 - 重要提示

可用于“不完整的 TCP/IP 数据包”漏洞的修补程序

发布时间: 2000 年 11 月 30 日

版本: 1.0

最初发布: 2000 年 11 月 30 日

总结

Microsoft 发布了一个修补程序,可消除 Microsoft® Windows NT 4.0 中的安全漏洞,并为 Windows 95、98、98 第二版和 Windows Me 提供建议的解决方法。 该漏洞可能允许恶意用户暂时阻止受影响的计算机提供任何网络服务,或导致其完全停止响应。

受影响的软件:

  • Windows NT 4.0

  • Windows 95、98、98 Second Edition 和 Windows Me

    注意: Windows 2000 不受此漏洞的影响。

漏洞标识符:CAN-2000-1039

常规信息

技术详细信息

技术说明:

拒绝服务漏洞会影响 Windows NT 4.0 Windows 95、98、98 第二版和 Windows Me。 通过向受害者的计算机发送大量格式不正确的 TCP/IP 数据包,恶意用户可能会导致两种影响之一。 在最有可能的情况下,洪水会暂时防止受影响计算机上的任何网络资源响应客户端请求:数据包停止到达后,计算机将恢复正常运行。 在不太可能的情况下,系统可能会挂起,并在重新启动之前保持无响应。

只有在目标计算机上打开 TCP 端口 139 时,才能利用此漏洞。 如果在计算机上禁用了服务器服务或文件/打印共享,则它不会容易受到此漏洞的影响。

常见问题解答

此公告的内容是什么?
Microsoft 安全公告 MS00-091 宣布了修补程序的可用性,该修补程序消除了 Microsoft® Windows NT 4.0 中的漏洞,并为 Windows® 95、98,98,98 第二版和 Windows Me 提供了建议的解决方法。 Microsoft 致力于保护客户的信息,并提供公告,告知客户漏洞及其可执行的操作。

漏洞的范围是什么?
这是一个 拒绝服务 漏洞,可以利用这两种效果之一。 在最有可能的情况下,恶意用户可以使用漏洞暂时导致受影响计算机上的网络服务在攻击期间停止响应客户端请求。 一旦攻击终止,网络服务就会恢复正常。 在极少数情况下,攻击可能导致系统挂起,需要重新启动它。 该漏洞不会影响 Windows 2000。 即使在受影响的系统中,仅当启用了服务器服务或文件/打印机共享时,才会发生漏洞。

导致漏洞的原因是什么?
Windows NT 4.0、Windows 95、98、98 Second Edition 和 Windows Me 中通过 TCP/IP (NBT) 协议实现 NetBIOS 存在缺陷。 如果恶意用户发送了大量具有特定格式错误的网络数据包,则可能会导致受影响的系统暂时停止响应所有网络请求,或者可能完全挂起。

什么是 NetBIOS,什么是 NBT?
NetBIOS 是一组用于电脑网络的网络服务。 可以在多个不同的网络协议上实现 NetBIOS,并且有一个标准描述每个情况的服务将如何实现。 NBT 是一种协议标准,用于描述如何在 TCP/IP 网络上提供 NetBIOS 服务。 有关通过 TCP/IP 的 NetBIOS 的详细信息,请参阅 RFC 1001

这是 NBT 协议中的缺陷吗?
否。 漏洞是由于某些系统中的实现错误而产生的。 其他系统(如 Windows 2000)提供不受漏洞影响的协议的实现。

受影响的系统中 NBT 实现有什么问题?
NBT 实现处理特定类型的无效数据包的方式存在缺陷。 如果一系列此类数据包针对受影响的系统,它可能会阻止它提供有用的服务。

将格式不正确的数据包发送到服务器会有什么影响?
一旦计算机受到影响,此漏洞主要有两种影响。 最有可能的情况是计算机将停止响应任何客户端网络请求。 不太可能的情况是一个完整的资源耗尽,需要重启计算机才能恢复正常运行。

你说攻击者必须发送一系列格式不正确的数据包。 这是洪水袭击吗?
否。 在洪水攻击中,攻击者必须使用的资源与目标计算机上消耗的资源之间存在粗略的关联。 例如,在针对 Web 服务器的泛滥攻击中,攻击者可能必须为要攻击的每个服务器指定一台计算机。 相比之下,拒绝服务攻击通常涉及某种乘数效应-攻击者必须投入比目标计算机上消耗的资源要少得多。 在这种情况下,有乘数效应,但它并不特别大。 攻击者需要持续将格式不正确的数据包发送到服务器,但不会以特别高的速度发送。 此外,如上所述,在某些情况下,数据包可能会导致服务器完全失败。

谁可以利用此漏洞?
任何有权访问受害者计算机上的 NBT 端口的恶意用户都可以利用此漏洞。 如果受影响的计算机直接连接到 Internet,则该漏洞可能会被位于 Internet 上的恶意用户利用。 如果企业 Intranet 上的计算机受正确配置的防火墙保护,阻止 NBT 端口,则计算机只能受到 Intranet 用户 的攻击注意: 如果在 Windows 9x 或 Windows Me 计算机上禁用了文件和打印机共享,则不会受到此漏洞的影响。 尽管默认情况下在某些配置下启用,但 Microsoft 建议在 直接连接到 Internet 的 Windows 9x 或 Windows Me 计算机上禁用 文件和打印机共享。

是否可以意外利用此漏洞?
否。 恶意用户需要在此处构造特定类型的无效数据包。 根据我们所知,没有合法客户端创建此类数据。

为什么 Windows 95、98、98 第二版或 Windows Me 没有修补程序?
此漏洞仅影响启用了文件和打印机共享的计算机。 Microsoft 建议禁用在任何直接连接到 Internet 的 Windows 9x 或 Windows Me 计算机上使用文件和打印机共享服务。 需要可靠文件服务器解决方案的客户应使用 Windows NT 4.0 或 Windows 2000。 对于内部 LAN 上的客户来说,风险略低,防火墙配置正确,阻止传入的 NBT 端口,因为只有公司网络内部的攻击者才能利用漏洞。 Windows 9x 和 Windows Me 上的文件和打印机共享最适合受控网络环境。 内部网络未连接到 Internet 或受防火墙保护的家庭电脑或小型企业可以安全地使用此服务,且风险最低。

谁应该使用修补程序?
Microsoft 建议运行 Windows NT 4.0 的任何人都可以安装此修补程序。

修补程序的作用是什么?
该修补程序消除了 NBT 中的缺陷,并修改它如何处理恶意客户端工具可以发送的格式不正确的数据包。

在哪里可以获取修补程序?
安全公告的“修补程序可用性”部分提供了修补程序的下载位置。

如何实现使用修补程序?
知识库文章 Q275567 包含有关应用修补程序的详细说明。

如何判断是否正确安装了修补程序?
知识库文章提供修补程序包中文件的清单。验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件,并具有相同的大小和创建日期,如知识库(KB)文章中所示。

Microsoft 对此有何操作?

  • Microsoft 提供了一个可消除漏洞的修补程序。
  • Microsoft 提供了一份 安全公告 和本常见问题解答,可让客户详细了解漏洞和消除漏洞的过程。
  • Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务,这是一项免费的电子邮件服务,客户可以使用该服务随时了解 Microsoft 安全公告。
  • Microsoft 发布了一篇 知识库文章,Q275567 更详细地解释漏洞和过程。

在哪里可以找到有关安全性的最佳做法的详细信息?
Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。

如何实现获得此问题的技术支持?
Microsoft 产品支持服务可以协助解决此问题或任何其他产品支持问题。

修补程序可用性

下载此修补程序的位置

有关此修补程序的其他信息

安装平台:有关此问题的详细信息, 请参阅以下参考。

  • Microsoft 知识库文章Q275567,

    https:

其他信息:

确认

Microsoft 感谢 BindView 的 Razor 团队向我们报告这些问题并帮助我们保护客户。

支持: 这是完全支持的修补程序。 有关联系 Microsoft 产品支持服务的信息,请参阅:

</https:>https:.

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • 2000 年 11 月 30 日:已创建公告。

构建于 2014-04-18T13:49:36Z-07:00</https:>