2024-03-18

安全公告

Microsoft 安全公告 MS01-025 - 严重

索引服务器搜索函数包含未检查缓冲区

发布时间： 2001 年 5 月 10 日 |更新时间：2003 年 6 月 23 日

版本： 1.1

最初发布： 2001 年 5 月 10 日
更新时间： 2003 年 6 月 23 日

总结

谁应该阅读此公告：
在 Windows NT® 4.0 中使用 Microsoft® Index Server 2.0 或 Windows® 2000 中的索引服务的系统管理员

漏洞的影响：
运行攻击者选择的代码。

建议：
使用 Index Server 2.0 的客户应立即应用修补程序;使用索引服务的客户应考虑应用修补程序

受影响的软件：

Microsoft Index Server 2.0
Microsoft Windows 2000 中的索引服务

常规信息

技术详细信息

技术说明：

下面讨论的修补程序解决了两个彼此无关的安全漏洞，但两者都影响索引服务器 2.0。第一个漏洞是缓冲区溢出漏洞。索引服务器 2.0 在处理搜索请求的函数中具有未检查缓冲区。如果为特定搜索参数提供了一个过长的值，则会超过缓冲区。如果缓冲区被随机数据溢出，则会导致索引服务器失败。如果它被仔细选择的数据溢出，则可在本地系统安全上下文中对攻击者选择的代码在服务器上运行。

第二个漏洞同时影响 Windows 2000 中的 Index Server 2.0 和索引服务，并且是 Microsoft 安全公告 MS00-006 中讨论的“格式不正确的命中突出显示”漏洞的新变体。新变体的作用域与原始漏洞几乎相同，但可能会公开新的文件类型（如果攻击者提供了无效的搜索请求），她可能会读取驻留在 Web 服务器上的“include”文件。新修补程序消除了漏洞的所有已知变体。

缓解因素：

索引服务器 2.0 缓冲区溢出：
- 为了利用漏洞，攻击者需要能够向服务器进行身份验证并创建与服务器的命名管道连接（这需要访问应在防火墙中阻止的 NetBIOS）。因此，这种漏洞很可能只能在正确配置的网络中被 Intranet 用户利用。
- 该漏洞仅影响索引服务器 2.0。 Windows 2000 中的索引服务不受它的影响。
- 索引服务器 2.0 未作为 Windows NT 4.0 的一部分提供;而是 Windows NT 4.0 选项包的一部分。它默认安装为该包的一部分，但默认情况下不会运行。
“错误命中突出显示”漏洞的新变体：
- 漏洞仅允许读取文件。无法通过此漏洞添加、更改或删除它们。
- 服务器端“include”文件不应包含敏感数据。如果遵循此建议，则不会通过此漏洞泄露敏感数据。
- 该漏洞只允许驻留在 Web 服务器上的文件（与服务器的根目录位于同一逻辑驱动器中）读取。它不允许服务器中的其他位置的文件或驻留在远程服务器上的文件读取。

漏洞标识符：

索引服务器 2.0 缓冲区溢出： CAN-2001-0244
“错误命中突出显示”漏洞的新变体： CAN-2001-0245

测试的版本：

Microsoft 在 Windows 2000 中测试了 Index Server 2.0 和索引服务，以评估它们是否受这些漏洞的影响。以前的版本不再受支持，可能会或不受这些漏洞的影响。

常见问题解答

本公告中讨论了哪些漏洞？
本公告讨论了两个不相关的漏洞，但两者都影响索引服务器的事实除外。漏洞包括：

仅影响索引服务器 2.0 的漏洞，这可能导致攻击者在索引服务器上运行代码。
以前讨论的漏洞的新变体，影响 Windows 2000 中的 Index Server 2.0 和索引服务。

什么是索引服务器和索引服务？
Index Server 2.0 是作为 Windows NT 4.0 选项包的一部分提供的全文索引和搜索引擎。在 Windows 2000 中，此功能作为本机服务提供，称为索引服务。 Index Server 2.0 和索引服务都能够使网站上的数据或服务器可搜索。这使用户能够使用 Web 浏览器基于关键字 (keyword)、短语或属性搜索文档。

第一个漏洞的范围是什么？
第一个漏洞是影响 Index Server 2.0 的缓冲区溢出漏洞。通过在搜索请求中提供特殊格式的参数，攻击者可能会导致两种效果之一。在更简单的情况下，她可能导致 Index Server 2.0 失败。在更复杂的情况下，她可能会导致所选代码在服务器上执行。此代码使用系统权限运行，因此可以在服务器上执行任何所需操作。由于发生漏洞的特定情况，攻击者需要在计算机上拥有一些权限。此外，适当的防火墙有助于防止 Internet 用户利用漏洞。最后，请务必注意，仅索引服务器 2.0 受到影响 - 索引服务不受影响。

导致漏洞的原因是什么？
漏洞结果的原因是处理搜索请求的代码部分中存在未检查缓冲区。通过提供格式不正确的搜索参数，攻击者可能会超过缓冲区。

这会使攻击者能够执行哪些操作？
与缓冲区溢出漏洞的情况一样，攻击者可以通过以下两种方式之一利用漏洞。如果她在受影响的参数中提供了足够大量的随机数据，则会导致服务失败。这不会导致任何其他服务失败，也不会导致服务器本身失败。不过，在管理员重启索引服务器之前，其他用户将无法执行搜索。另一方面，如果她提供了精心选择的数据作为参数，则攻击者在运行索引服务器代码时，实际上可能会修改索引服务器代码。如果她愿意，这将允许她引入新功能。由于索引服务器在本地系统上下文中运行，因此攻击者的代码将有足够的权限来执行任何所需的操作，例如更改 Web 内容或重新格式化硬盘驱动器。

后者的攻击会允许攻击者接管网络吗？
尽管该漏洞使用户能够完全控制服务器，但它不会授予她在网络上的任何提升的权限。默认情况下，索引服务器在本地（而非域）帐户的安全上下文中运行。当然，域管理员可能会将索引服务器重新配置为在域安全上下文中运行，但这非常糟糕的做法。

攻击者是否可以利用来自 Internet 的此漏洞？
在大多数情况下，此漏洞只能由网络内部成员利用。若要对搜索请求征税，攻击者需要在服务器上使用有效的用户帐户。此外，她需要能够创建到服务器的命名管道连接，这需要访问服务器上的 NetBIOS 端口。但是，应始终在防火墙上阻止 NetBIOS。

默认情况下，Index Server 2.0 是否安装在 Windows NT 4.0 系统上？
索引服务器 2.0 未作为 Windows NT 4.0 的一部分提供;而是作为 Windows NT 4.0 选项包的一部分。如果作为 Option Pack 的一部分进行安装，则默认情况下会运行该包。

此漏洞是否会影响 Windows 2000 系统？
否。 Windows 2000 中的索引服务不包含未检查缓冲区，并且不受漏洞影响。

修补程序的作用是什么？
该修补程序通过在使用索引服务器 2.0 之前正确检查所有搜索参数的长度来消除漏洞。

第二个漏洞的范围是什么？
第二个漏洞是 Microsoft 安全公告 MS00-006 中讨论的“格式不正确命中突出显示”漏洞的新变体。它可以允许恶意用户查看驻留在 Web 服务器上的文件，但不能添加、更改或删除文件。此漏洞仅影响驻留在 Web 服务器本身上的文件，并且仅影响与服务器的根目录位于同一逻辑驱动器上。驻留在网站远程服务器上的文件（例如远程数据库服务器上的文件）不会受到此漏洞的风险。

新变体与原始漏洞有何不同？
新变体适用于所有实际用途，与原始变体完全相同，但特定类型的文件除外，攻击者可以读取它。即使应用原始修补程序，新变体也可以允许读取“include”文件。

什么是“include”文件？
“include”文件是包含在执行程序文件时将合并到程序文件中的信息的文件。通常，这些文件包含参数或常用代码。但是，它们绝不应包含密码等敏感信息。如果已遵循此建议，即使是可以读取文件的攻击者也不会从中获取任何内容。

此漏洞是否同时影响 Index Server 2.0 和索引服务？
是的。

修补程序的作用是什么？
该修补程序扩展了原始修补程序提供的保护，也阻止新变体成功。

如果我应用此修补程序，是否需要应用原始修补程序？
否。此修补程序完全取代了 Microsoft 安全公告 MS00-006 中提供的修补程序。

修补程序可用性

下载此修补程序的位置

索引服务器 2.0：
- 索引服务器缓冲区溢出：
  https://www.microsoft.com/download/details.aspx?FamilyId=18264A15-EBCF-4563-82B5-2F1681BACB8D&displaylang;=en
- “错误命中突出显示”漏洞的新变体：
  https://www.microsoft.com/download/details.aspx?FamilyId=E1163A39-BD80-4D73-BE6B-EC164AD4E8EF&displaylang;=en
Windows 2000 Professional、Server 和 Advanced Server 中的索引服务：
https://www.microsoft.com/download/details.aspx?FamilyId=4E921C3D-0FEA-4EA7-929A-0441590A8E40&displaylang;=en
Windows 2000 Datacenter Server 中的索引服务：
Windows 2000 Datacenter Server 的修补程序特定于硬件，可从原始设备制造商获取

有关此修补程序的其他信息

安装平台：

Index Server 2.0 的修补程序可以安装在运行 Windows NT 4.0 Service Pack 6a 的系统以及安装了 Windows NT 4.0 选项包的系统上。
索引服务的修补程序可以安装在运行 Windows 2000 Gold、 Service Pack 1 或即将推出的 Service Pack 2 的系统上。

包含在将来的 Service Pack 中：

Index Server 2.0 修补程序将包含在 Windows NT 4.0 Service Pack 7 中。
索引服务修补程序将包含在 Windows 2000 Service Pack 3 中。

取代的修补程序：

此修补程序取代了 Microsoft 安全公告 MS00-006 中提供的修补程序。

验证修补程序安装：

索引服务器 2.0：
- 若要验证计算机上是否已安装缓冲区溢出的修补程序，请确认计算机上已创建以下注册表项：
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q294472。
- 若要验证缓冲区溢出修补程序中的单个文件，请参阅知识库文章Q294472中的文件清单。
- 若要验证计算机上是否已安装“错误命中突出显示”漏洞的新变体的修补程序，请确认计算机上已创建以下注册表项：
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q296185。
- 若要验证修补程序中“命中突出显示格式错误”漏洞的新变体中的单个文件，请参阅知识库文章Q296185中的文件清单。
在 Windows 2000 中为服务编制索引：
- 若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP2\Q296185。
- 若要验证各个文件，请使用以下注册表项中提供的日期/时间和版本信息：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP2\Q296185\Filelist

注意：

无

本地化：

此修补程序的本地化版本正在开发中。完成后，它们将出现在“获取其他安全修补程序”中讨论的位置。

获取其他安全修补程序：

可从以下位置获取其他安全问题的修补程序：

安全修补程序可从 Microsoft 下载中心获取，可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
WindowsUpdate 网站也提供了修补程序

其他信息：

确认

Microsoft 感谢以下人员与我们合作来保护客户：

David Litchfield of （https://www.atstake.com）用于@Stake向我们报告 Index Server 2.0 缓冲区溢出。
迈克·穆林斯（）向我们https://www.gap.com报告了“格式不正确的热门突出显示”漏洞的新变体。

支持：

Microsoft 知识库文章Q296185和Q294472讨论此问题，将在发布此公告大约 24 小时后提供。可以在 Microsoft Online 支持网站上找到知识库文章。
Microsoft 产品支持服务提供技术支持。与安全修补程序关联的支持调用不收取任何费用。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

V1.0 2001 年 5 月 10 日：已创建公告。
V1.1 2003 年 6 月 23 日：已更新Windows 更新下载链接。

生成于 2014-04-18T13：49：36Z-07：00

通过