安全公告
Microsoft 安全公告 MS01-048 - 严重
对 RPC 终结点映射程序的请求格式不正确可能导致 RPC 服务失败
发布时间: 2001 年 9 月 10 日 |更新时间:2003 年 5 月 9 日
版本: 1.1
最初发布: 2001 年 9 月 10 日
更新时间: 2003 年 5 月 9 日
总结
谁应该阅读此公告:
使用 Microsoft® Windows NT® 4.0 的系统管理员
漏洞的影响:
拒绝服务。
建议:
系统管理员应将修补程序应用到提供基于 RPC 的服务的服务器。
受影响的软件:
- Microsoft Windows NT 4.0
常规信息
技术详细信息
技术说明:
RPC 终结点映射器允许 RPC 客户端确定当前分配给特定 RPC 服务的端口号。 Windows NT 4.0 终结点映射器包含一个缺陷,在收到包含特定类型的格式不正确的数据的请求时,它会导致失败。
由于终结点映射程序在 RPC 服务本身中运行,利用此漏洞会导致 RPC 服务本身失败,服务器提供的任何基于 RPC 的服务的助理丢失,以及某些 COM 函数的潜在损失。 通过重新启动服务器可以还原正常服务。
缓解因素:
- 标准安全建议要求端口 135(RPC 终结点映射器在其上运行的端口)在防火墙上被阻止。 如果这样做,基于 Internet 的攻击者将无法利用此漏洞。
漏洞标识符:CAN-2001-0662
测试的版本:
Microsoft 测试了 Windows NT 4.0、Windows 2000 和 Windows XP,以评估它们是否受这些漏洞的影响。 以前的版本不再 受支持,可能会或不受这些漏洞的影响。
常见问题解答
漏洞的范围是什么?
这是 拒绝服务 漏洞。 成功利用它的攻击者可以阻止受影响的服务器在某些情况下向用户提供有用的服务。 如果防火墙遵循正常做法,则此漏洞造成的主要威胁来自内部攻击。 通过重新启动系统可以还原正常服务。
导致漏洞的原因是什么?
由于如果终结点映射器发送了包含特定类型格式不正确的数据的请求,Windows NT 4.0 RPC 服务将失败,因此漏洞结果。
什么是 RPC?
RPC (远程过程调用)是一种技术,用于支持分布式应用程序,即各种组件位于不同计算机上的应用程序。 RPC 的主要目的是为组件提供相互通信的方式。 这样,组件就可以互相征收请求,并传达这些请求的结果。
RPC 终结点映射器是什么?
使用基于 IP 的协议的每个 RPC 服务都使用 TCP 或 UDP 端口与其客户端通信。 但是,在大多数情况下,端口会动态分配给 RPC 服务。 因此,两台不同计算机上可用的 RPC 服务可能在每个计算机上使用不同的端口。 同样,每次重新启动计算机时,单个计算机上的 RPC 服务可能会使用不同的端口。 客户端必须能够在特定计算机上查找特定 RPC 服务的正确端口。
这是 RPC 终结点映射器服务的作用。 在启动与 RPC 服务的会话之前,客户端首先咨询服务器上的终结点映射器服务,以确定服务当前在其上运行的端口。 然后,它开始直接与服务通信。
RPC 终结点映射器有什么问题?
如果对 Windows NT 4.0 RPC 终结点映射器服务的查询包含特定类型的格式不正确的数据,该服务将失败。 由于终结点映射器作为 RPC 服务的一部分运行,这将导致整个 RPC 服务失败。
攻击者可以使用此漏洞执行哪些操作?
攻击者可以使用此漏洞来防止服务器提供任何基于 RPC 的服务。
哪些服务示例可能受攻击影响?
通常,通过 RPC 运行的任何服务都会受到此类攻击的干扰。 Exchange 和 SQL Server 等产品通过 RPC 提供其主要服务,因此此类攻击会使它们不可用。 另一方面,IIS 仅通过 RPC 提供管理功能,因此即使在此类攻击之后,它也会继续提供 Web 服务。
谁可以利用此漏洞?
任何可以将数据发送到端口 135(终结点映射器运行端口)的任何用户都可能会利用该漏洞。
攻击者是否可以利用来自 Internet 的此漏洞?
标准防火墙做法强烈建议阻止端口 135。 如果已执行此操作,则基于 Internet 的攻击者无法利用漏洞。
如果攻击者确实利用了漏洞,那么还原正常服务需要什么?
管理员需要重新启动服务器。
我有一个 Windows NT 4.0 工作站。 我应该应用修补程序吗?
除非通过工作站提供基于 RPC 的服务(这种情况很少),否则无需应用修补程序。
我有一台 Windows NT 4.0 服务器。 我应该应用修补程序吗?
如果未通过服务器提供任何 RPC 基服务,则不需要修补程序。 但是,如果服务器确实提供基于 RPC 的服务,则应应用修补程序。
Windows 2000 是否受漏洞影响?
否。 使用 Windows 2000 的客户无需采取任何操作。
Windows XP 是否受漏洞影响?
否。 使用 Windows XP 的客户无需采取任何操作。
修补程序的作用是什么?
修补程序通过导致 Windows NT 4.0 终结点映射器拒绝包含此处格式错误的请求来消除漏洞。
修补程序可用性
下载此修补程序的位置
Windows NT 4.0 工作站、Windows NT 4.0 服务器和 Windows NT 4.0 服务器,企业版:
https://www.microsoft.com/download/details.aspx?FamilyId=E9ED2009-916F-4247-B341-3786378626FC&displaylang;=enWindows NT 4.0 服务器,终端服务器版本:
即将发布
有关此修补程序的其他信息
安装平台:
此修补程序可以安装在运行 Windows NT 4.0 Service Pack 6a 的系统上。
包含在将来的 Service Pack 中:
不会为 Windows NT 4.0 计划将来的 Service Pack。
需要重新启动: 是
取代的修补程序: 无。
验证修补程序安装:
若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q305399。若要验证各个文件,请参阅知识库文章Q305399中的文件清单。
注意:
无
本地化:
此修补程序的本地化版本在“获取其他安全修补程序”中所述的位置提供。
获取其他安全修补程序:
可从以下位置获取其他安全问题的修补程序:
- 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
- WindowsUpdate 网站提供了使用者平台的修补程序。
其他信息:
确认
Microsoft 感谢 合理软件()的 Seiichi Tatsukawa 向我们https://www.rational.com报告此问题,并与我们合作保护客户。
支持:
- Microsoft 知识库文章Q305399讨论此问题,将在发布本公告大约 24 小时后提供。 可以在 Microsoft Online 支持网站上找到知识库文章。
- Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。
安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0(2001 年 9 月 10 日):公告已创建。
- V1.1(2003 年 5 月 9 日):更新了指向Windows 更新的下载链接。
生成于 2014-04-18T13:49:36Z-07:00