安全公告
Microsoft 安全公告 MS02-045 - 中等
网络共享提供程序中的未检查缓冲区可能导致拒绝服务(Q326830)
发布时间: 2002 年 8 月 22 日
版本: 1.0
最初发布: 2002 年 8 月 22 日
总结
谁应阅读此公告: 使用 Microsoft® Windows NT®、Windows® 2000 和 Windows XP 的客户。
漏洞的影响: 拒绝服务。
最大严重性分级: 中等
建议:管理员istrators 应考虑安装修补程序。
受影响的软件:
- Microsoft Windows NT 4.0 工作站
- Microsoft Windows NT 4.0 Server
- Microsoft Windows NT 4.0 Server, Terminal Server Edition
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 高级服务器
- Windows XP Professional
常规信息
技术详细信息
技术说明:
SMB (服务器消息块)是 Microsoft 用来共享文件、打印机、串行端口以及使用命名管道和邮件槽的计算机之间通信的协议。 在网络环境中,服务器使文件系统和资源可供客户端使用。 客户端对资源和服务器发出 SMB 请求,并在描述为客户端服务器的请求-响应协议中发出 SMB 响应。
通过发送特制的数据包请求,攻击者可以在目标服务器计算机上装载拒绝服务攻击并崩溃系统。 攻击者可以使用用户帐户和匿名访问来实现此目的。 虽然未确认,但可以执行任意代码。
缓解因素:
- 管理员可以阻止从不受信任的网络访问 SMB 端口。 通过在网络外围阻止 TCP 端口 445 和 139,管理员可以阻止此攻击来自不受信任的方。 在文件和打印环境中,这可能不是合法用户的实际解决方案。
- 管理员可以停止阻止攻击的 Lanman 服务器服务,但再次可能不适合在文件和打印共享服务器上。
严重性分级:
| Internet 服务器 | Intranet 服务器 | 客户端系统 | |
|---|---|---|---|
| Windows NT 4.0 Server | 低 | 中等 | 适中 |
| Windows NT 4.0 工作站 | 低 | 中等 | 适中 |
| Windows NT 4.0 服务器,终端服务器版本 | 低 | 中等 | 适中 |
| Windows 2000 Server | 低 | 中等 | 适中 |
| Windows 2000 Professional | 低 | 中等 | 适中 |
| Windows 2000 高级服务器 | 低 | 中等 | 适中 |
| Windows XP | 低 | 中等 | 适中 |
上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。
漏洞标识符:CAN-2002-0724
测试的版本:
Microsoft 测试了 Windows NT 4.0、Windows 2000 和 Windows XP,以评估它们是否受这些漏洞的影响。 以前的版本不再 受支持,可能会或不受这些漏洞的影响。
常见问题解答
漏洞的范围是什么?
这是 拒绝服务攻击。 通过向计算机发送特制数据包请求,攻击者可能会使目标计算机的系统崩溃。 攻击者可以使用用户帐户和匿名访问来实现此目的。 虽然未确认,但可以执行任意代码。
如果系统管理员已关闭匿名访问,则未经身份验证的用户不可能利用此漏洞。 但是,关闭匿名访问不会阻止经过身份验证的用户遭受此攻击。
此外,管理员可以阻止在网络外围的 TCP 端口 445 和 139 上访问 SMB。 这会阻止来自不受信任的网络的访问。 但是,合法用户可能在文件中被阻止并打印网络环境。
管理员istrators 还可以关闭 lanman 服务器服务。 但是,在文件和打印网络环境中,这可能是一个可行的解决方案,因为它会阻止合法用户使用文件和打印服务在特定服务器上停止 lanman 服务。
导致漏洞的原因是什么?
漏洞是由于 Microsoft 实现 SMB 接收请求 SMB 服务的数据包的方式存在缺陷而产生的。
什么是 SMB?
SMB (服务器消息块)是 Microsoft 用来共享文件、打印机、串行端口以及使用命名管道和邮件槽的计算机之间通信的协议。 在网络环境中,服务器使文件系统和资源可供客户端使用。 客户端对资源和服务器发出 SMB 请求,并在描述为客户端服务器的请求-响应协议中发出 SMB 响应。
SMB 实现有什么问题?
请求 SMB 服务的一部分代码中有一个未检查缓冲区。
此漏洞使攻击者能够执行哪些操作?
此漏洞可能导致攻击者使用用户帐户或匿名访问在本地或远程对易受攻击的系统发起拒绝服务攻击。
但这是缓冲区溢出漏洞。 他们通常不允许攻击者在系统上运行代码吗?
通常,这是事实。 但是,在测试过程中,开发团队和记者都找不到攻击者在系统上运行代码的方法。 这并不意味着不可能,只是到目前为止的测试并没有产生此结果。 同样,鼓励管理员应用修补程序。
攻击者如何利用此漏洞?
攻击者可以通过向目标计算机发送格式不正确的 SMB 请求并将其崩溃,在启用了匿名访问的计算机上利用此漏洞。
Internet 上的用户是否可以利用此漏洞?
仅在防火墙中打开 TCP 端口 445 和 139 时。 这会阻止来自不受信任的网络的访问。 最佳做法表明应阻止这些端口。
是否需要对用户进行身份验证才能利用漏洞?
如果已禁用匿名访问,只有经过身份验证的用户才能利用此漏洞。 要求经过身份验证的用户而不是匿名访问会使管理员更容易确定攻击者是谁。
修补程序的作用是什么?
修补程序通过在响应 SMB 请求之前检查正确的输入来消除漏洞,从而消除漏洞。
修补程序可用性
下载此修补程序的位置
- Microsoft Windows NT 4.0 - 下载更新
- Microsoft Windows NT 4.0 终端服务器版本 - 下载更新
- Microsoft Windows 2000 - 下载更新
- Microsoft Windows XP - 下载更新
- Microsoft Windows XP 64 位版本 - 下载更新
有关此修补程序的其他信息
安装平台:
Windows NT 4.0:
可以在运行 Windows NT 4.0 T标准版 Service Pack 6 的系统上安装 Windows NT 4.0 终端服务器版修补程序。
Windows 2000:
此修补程序可以安装在运行 Windows 2000 Service Pack 2 或 Windows 2000 Service Pack 3 的系统上
Windows XP 的修补程序可以安装在运行 Windows XP Gold 的系统上。
包含在将来的 Service Pack 中:
- 此问题的修补程序将包含在 Windows 2000 Service Pack 4 中。
- 此问题的修补程序将包含在 Windows XP Service Pack 1 中。
需要重新启动: 是
可以卸载修补程序: 是
取代的修补程序: 无。
验证修补程序安装:
若要验证是否已在计算机上安装修补程序,请确认计算机上已创建以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\...\Q326830。
若要验证各个文件,请使用以下注册表项中提供的日期/时间和版本信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\...\Q326830\Filelist
注意:
无
本地化:
此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。
获取其他安全修补程序:
可从以下位置获取其他安全问题的修补程序:
- 安全修补程序可从 Microsoft 下载中心获取,可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
- WindowsUpdate 网站提供了使用者平台的修补程序
其他信息:
确认
Microsoft 感谢核心安全技术安全咨询服务团队的 Alberto Solino 和 Hernan Ochoa 向我们报告此问题,并与我们合作保护客户。
支持:
- Microsoft 知识库文章Q326830讨论此问题,将在发布本公告大约 24 小时后提供。 可以在 Microsoft Online 支持网站上找到知识库文章。
- Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。
安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- V1.0(2002 年 8 月 22 日):公告已创建。
生成于 2014-04-18T13:49:36Z-07:00