安全公告

Microsoft 安全公告 MS03-007 - 严重

Windows 组件中的未检查缓冲区可能会导致服务器泄露（815021）

发布时间： 2003 年 3 月 17 日 |更新时间：2003 年 9 月 18 日

版本： 3.4

最初发布： 2003 年 3 月 17 日
更新时间： 2003 年 5 月 30 日

总结

谁应阅读此公告： 运行 Microsoft ® Windows NT 4.0、Windows ® 2000 和 Windows XP 的系统管理员。

漏洞的影响： 运行攻击者选择的代码

最大严重性分级： 严重

建议： 系统管理员应立即应用修补程序

最终用户公告：此公告的最终用户版本位于： https：

受影响的软件：

• Microsoft Windows NT 4.0
• Microsoft Windows NT 4.0 终端服务器版本
• Microsoft Windows 2000
• Microsoft Windows XP

受影响的软件：

• Microsoft Windows Server 2003

常规信息

技术详细信息

技术说明：

Microsoft 最初于 2003 年 3 月 17 日发布了此安全公告。 当时，Microsoft 知道公开可用的漏洞，该漏洞用于攻击运行 IIS 5.0 的 Windows 2000 服务器。 在本例中，攻击途径是 WebDAV，尽管基础漏洞位于核心操作系统组件中，ntdll.dll。 不久之后，Microsoft 发布了一个修补程序来保护 Windows 2000 客户，但也继续调查基础漏洞。 在调查过程中，Microsoft 发现 Windows NT 4.0 还包含ntdll.dll中的基础漏洞，但它不支持 WebDAV，因此已知攻击对 Windows NT 4.0 无效。 此外，Microsoft 最近在 Windows XP 中也意识到了这一漏洞。 但是，与 Windows NT 4.0 一样，默认情况下，Windows XP 不会安装 Internet Information Services （IIS）。 Microsoft 现已发布适用于 Windows NT 4.0 和 Windows XP 的修补程序。

Microsoft Windows 2000 支持万维网分布式创作和版本控制 （WebDAV） 协议。 在 RFC 2518 中定义的 WebDAV 是 Hyper Text 传输协议（HTTP）的一组扩展，为 Internet 上的计算机之间的编辑和文件管理提供标准。 WebDAV 使用的 Windows 组件中存在安全漏洞，结果是因为核心操作系统组件ntdll.dll包含未检查缓冲区。

攻击者可以通过向运行 Internet Information Server（IIS）的计算机发送特殊形式的 HTTP 请求来利用漏洞。 请求可能导致服务器失败或执行攻击者选择的代码。 代码将在 IIS 服务的安全上下文中运行（默认情况下，在 LocalSystem 上下文中运行）。

尽管 Microsoft 已提供此漏洞的修补程序，并建议所有受影响的客户立即安装修补程序，但已提供其他工具和预防措施，客户可以在评估修补程序的影响和兼容性时使用该修补程序来阻止利用此漏洞。 以下常见问题解答中的“解决方法”部分讨论了这些临时解决方法和工具。

缓解因素：

• URLScan 是 IIS 锁定工具的一部分，它将在其默认配置中阻止此攻击
• 仅当攻击者能够与受影响的服务器建立 Web 会话时，才能远程利用该漏洞
• 默认情况下，Windows NT 4.0 和 Windows XP 不会安装 Internet Information Services。
• Windows NT 4.0 不支持 WebDAV

严重性分级：

Windows NT 4.0	重要
Windows NT 4.0 终端服务器版本	重要
Windows 2000	严重
Windows XP	重要

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。

漏洞标识符：CAN-2003-0109

测试的版本：

Microsoft 测试了 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003，以评估它们是否受此漏洞的影响。 以前的版本不再 受支持，可能会或不受这些漏洞的影响。

常见问题解答

为什么 Microsoft 重新发布此公告？
Microsoft 于 2003 年 3 月 17 日首次发布此公告。 当时，Microsoft 已意识到针对运行 IIS 的 Windows 2000 服务器的公开可用攻击。 基础漏洞位于核心操作系统组件中，ntdll.dll，但 WebDAV 正用作攻击途径。 Microsoft 响应并发布了此公告和修补程序来保护 Windows 2000 客户。 Microsoft 继续调查此问题，并确定 windows NT 4.0 中也存在ntdll.dll中的基础漏洞。 在首次发布此公告之后，Microsoft 更新了公告，为 Windows NT 4.0 中的基础漏洞提供修补程序。 进一步调查发现，ntdll.dll中的基础漏洞也存在于 Windows XP 中，Microsoft 现已在此公告中发布了 Windows XP 修补程序。 Windows NT 4.0 不支持 WebDAV，因此不能用作攻击途径，并且 Windows NT 4.0 和 Windows XP 默认情况下都未安装 IIS。 但是，Windows NT 4.0 和 Windows XP 仍然容易受到其他攻击，尤其是在攻击者可以以交互方式登录到系统的情况下。

为什么 Microsoft 更改了本公告的“注意事项”部分中的信息？
Microsoft 已意识到，一些从产品支持服务收到修补程序的 Windows 2000 客户在应用此公告发布的修补程序后在启动时遇到停止错误。 我们评估了此问题，现在知道它仅在特定的一组情况下发生。 一系列只能通过产品支持服务提供的 Windows 2000 修补程序，并在 2001 年 12 月至 2002 年 2 月之间发布，与此漏洞的修补程序不兼容。 在 Windows 2000 Service Pack 2 上运行这 12 个修补程序之一的客户会在应用此修补程序后在重新启动时遇到停止错误。 有关如何确定是否已安装与此修补程序不兼容的修补程序的详细信息，请参阅“注意事项”下的“添加信息”部分。 运行 Windows 2000 Service Pack 3 或未运行其中一个修补程序的客户不会遇到此问题。

我担心上述故障会影响某些 Windows 2000 Service Pack 2 系统，但仍需要应用修补程序。 我该怎么办？
有许多选项：

• 应用 MS03-013 中的 Windows 2000 修补程序 - 该修补程序取代了此公告中的修补程序，并删除导致上述失败的文件依赖项。 如果尚未从此公告中应用 MS03-007 修补程序，Microsoft 建议应用 MS03-013 修补程序，因为它也会更正其他漏洞。
• 应用修补程序之前，请应用 Windows 2000 Service Pack 3。 Windows 2000 SP3 不包含导致上述失败的文件依赖项。
• 请联系 Microsoft 产品支持服务。 上述故障只能在 Windows 2000 Service Pack 2 系统上遇到，这些系统也运行一系列仅通过产品支持服务提供的 Sp2 后热化程序。

MS03-013安全公告讨论了该修补程序的 Windows XP SP1 版本的性能问题。该性能问题是否也会影响 MS03-013 的 Windows 2000 修补程序？
否，MS03-013 中讨论的性能问题仅影响 Windows XP SP1 系统。 MS03-013 的 Windows 2000 修补程序更正了导致上述 MS03-007 修补程序失败的文件依赖项问题，并更正 MS03-013 中所述的其他安全漏洞。 它不受 MS03-013 中 Windows XP SP1 修补程序相同的性能问题的影响。

漏洞的范围是什么？
这是 缓冲区溢出 漏洞。 成功利用此漏洞的攻击者可以完全控制受影响的 Web 服务器。 这将使攻击者能够在服务器上执行任何所需的操作，包括更改网页、重新格式化硬盘驱动器或将新用户添加到本地管理员组。

导致漏洞的原因是什么？
漏洞是由于 Windows 组件（Ntdll.dll）中未检查缓冲区造成的，该缓冲区可以使用 WebDAV 调用，也可以在本地访问。 通过 WebDAV 发送专门构造的请求，攻击者可能会导致代码在本地系统安全上下文中的 Web 服务器上运行。 对于 Windows NT 4.0，攻击者需要使用另一种攻击途径，例如涉及以交互方式登录到系统的攻击途径。

什么是 WebDAV？
WebDAV 是 HTTP 规范的行业标准扩展。 “WebDAV”中的“DAV”代表“分布式创作和版本控制”。WebDAV 为授权用户添加了远程添加和管理 Web 服务器上的内容的功能。 Windows 2000 支持 WebDAV。

IIS 5.0 处理 WebDAV 请求的方式有什么问题？
WebDAV 使用 IIS 向 Windows 2000 和从 Windows 2000 传递请求。 当 IIS 收到 WebDAV 请求时，它通常会处理该请求，然后对其执行该请求。 但是，如果请求以特定方式形成，则缓冲区溢出可能会导致 WebDAV 调用的其中一个 Windows 组件无法正确检查参数。

是否可以通过 IIS 4.0 在 Windows NT 4.0 上利用漏洞？
否。 IIS 4.0 不支持 WebDAV，因此攻击者利用漏洞的能力不存在。 但是，攻击者可以通过另一个攻击途径利用基础漏洞，例如需要以交互方式登录到系统

是否可以通过 IIS 5.1 在 Windows XP 上利用漏洞？
否。 尽管 IIS 5.1 中支持 WebDAV（如果由用户安装）中，但基础 Windows XP 版本的ntdll.dll并不容易受到 WebDAV 攻击途径的影响，因此攻击者利用漏洞的能力不存在。 但是，即使未安装 IIS，攻击者也可以通过另一个攻击途径利用基础漏洞，例如需要以交互方式登录到系统。

如果我已确认我未运行 IIS 5.0，我是否仍应安装修补程序？
是的。 禁用或修改 IIS 5.0 仍将使系统上易受攻击的 Windows 组件保持运行。 运行 Windows 2000 的所有客户都应安装修补程序。

攻击者如何利用此漏洞？
攻击者可以通过向运行 IIS 5.0 的 Web 服务器发送特殊形式的 WebDAV 请求来利用此漏洞。 攻击者还可以通过以交互方式登录到系统并访问受影响的组件（ntdll.dll本地）来利用此漏洞。

谁可以利用漏洞？
对于 WebDAV 攻击者向量，可以将 WebDAV 请求传递给受影响的 Web 服务器的任何用户都可能会尝试利用漏洞。 由于 WebDAV 请求通过 HTTP（通常为端口 80）的同一端口传输，因此这实质上意味着任何与受影响服务器建立连接的用户都可能会尝试利用漏洞。 也可以通过另一个向量访问受影响的组件，例如，通过交互方式登录到系统，或者使用类似于 WebDAV 的另一个应用程序，将参数传递到易受攻击的组件本地或远程。

这允许攻击者做什么？
如果攻击者能够在受影响的系统上运行具有本地系统权限的代码，攻击者将能够对系统执行任何操作，包括安装程序、查看更改或删除数据，或者创建具有完全权限的新帐户。

如何实现知道我是否正在运行 IIS？
默认情况下，IIS 5.0 安装在 Windows 2000 的所有服务器版本上。 默认情况下，它未安装在 Windows 2000 Professional 上。 若要在系统上安装 IIS 检查，请执行下列操作：转到“开始 |设置 |控制面板 |管理员istrative 工具 |服务”。 如果列出了“万维网发布”服务，则安装 IIS。

IIS 5.0 附带哪些产品？
Internet Information Services 5.0 作为 Windows 2000 Datacenter Server、Advanced Server、Server 和 Professional 的一部分提供。

IIS 5.0 是否默认运行？
默认情况下，IIS 5.0 在所有 Windows 2000 服务器产品上运行。 默认情况下，它不会在 Windows 2000 Professional 上运行。

默认情况下是否在 IIS 5.0 上启用 WebDAV？
可以，不过，可以按照下面的“解决方法”部分中提及的步骤禁用它。

解决方法

在测试或评估修补程序时，是否有任何可用于阻止利用此漏洞的解决方法？
是的。 尽管 Microsoft 敦促所有客户尽早应用修补程序，但有一些解决方法可用于阻止 WebDAV 请求，以在过渡期间利用此漏洞。 此外，Microsoft 还会提供工具和文档，以便更轻松地部署这些解决方法。 应注意的是，这些解决方法应被视为临时措施，因为它们只是阻止攻击路径，而不是纠正基础漏洞。 以下部分旨在为你提供信息来保护计算机免受攻击。 每个部分介绍根据计算机的配置，你可能希望使用的解决方法。

• 如果计算机上不需要 IIS：

  可以通过运行 IIS 锁定工具来禁用 IIS。 若要下载 IIS 锁定工具，请转到以下网站 ：IIS 锁定工具。

  或者，还可以通过执行知识库文章321141中列出的步骤来删除 IIS。

• 如果需要 IIS，但不需要启用 WebDAV：

  WebDAV 提供在 Internet 上的计算机之间编辑和文件管理的标准。 如果不使用 WebDAV，可以通过运行 IIS 锁定工具并指定不使用 WebDAV 的工具来禁用它。 若要下载 IIS 锁定工具，请转到以下网站 ：IIS 锁定工具。

  请注意，虽然 IIS 锁定工具可阻止成功执行此攻击和其他许多攻击，但在某些情况下，它可能会干扰 Web 服务器的功能。 尽管可以限制使用 IIS 锁定工具禁用 WebDAV，但应考虑应用所有锁定，包括 URLScan。 以下位置提供了有关使用 IIS 锁定工具的信息：

  https://support.microsoft.com/default.aspx?scid=kb;EN-US;325864

  还可以按照 Microsoft 知识库文章中列出的说明禁用 WebDAV：

  </https：>https：

• 如果需要在计算机上使用 WebDAV：

  有许多解决方法可以应用于阻止用于利用此漏洞的请求，并保留 WebDAV 功能（如果使用它）。

  • 无法将 IIS 锁定工具或 URLScan 部署到其 Web 服务器的客户可以限制 IIS 用于接收可用于利用此漏洞的请求的缓冲区。 Microsoft 提供了 URL 缓冲区大小注册表工具，用于自动设置将限制缓冲区的注册表项。 此工具可以在运行 Windows 2000 的 Web 服务器上运行，以防止试图利用此漏洞的攻击。 该工具可以在要保护的 Web 服务器上本地运行，也可以由对服务器具有管理访问权限的用户远程应用于多个 Web 服务器。 有关 URL 缓冲区大小注册表工具以及其他解决方法工具的信息位于以下知识库文章中：

    </https：>https：

    URL 缓冲区大小注册表工具可以在运行 Windows 2000 Service Pack 2 或 Service Pack 3 的系统上运行。 此外，可以按照以下知识库文章中的说明手动更改注册表：

    </https：>https：

    请注意，客户应评估适合其环境的最大缓冲区大小，并设置该最大值，但无论如何，缓冲区应设置为小于 64K 字节的大小。 Microsoft 建议将 16K 作为合理的值。 16k 是 URL 缓冲区大小注册表工具自动设置的限制。

  • 由 IIS 锁定工具安装的 URLScan 还会阻止可用于利用此漏洞的 Web 请求。 可以从以下方法获取 URLScan 工具：

    </https：>https：

    请注意，虽然 IIS 锁定工具可阻止成功执行此攻击和其他许多攻击，但在某些情况下，它可能会干扰 Web 服务器的功能。 尽管可以限制使用 IIS 锁定工具安装 URLScan，但应考虑应用所有锁定，包括 URLScan。

    有关自定义和配置 URLScan 的信息，请参阅以下位置：

    https://support.microsoft.com/default.aspx?scid=kb;[LN];326444

    以下位置提供了有关使用 IIS 锁定工具的信息：

    https://support.microsoft.com/default.aspx?scid=kb;EN-US;325864

修补程序的作用是什么？

修补程序通过更改受影响的 Windows 组件接受请求的方法来更正问题。

修补程序可用性

下载此修补程序的位置

• Microsoft Windows NT 4.0：
  • 除 NEC 和中文以外的所有 - 香港
  • 日语 NEC
  • 中文 - 香港
• Windows NT 4.0 终端服务器版本：
  • 全部
• Microsoft Windows 2000：
  • 除日语 NEC 之外的所有
  • 日语 NEC
• Microsoft Windows XP：
  • 32 位版本
  • 64 位版本

有关此修补程序的其他信息

安装平台：

Windows NT 4.0：

此修补程序可以安装在运行 Windows NT 4.0 Service Pack 6a 的系统上。

Windows 2000：

此修补程序可以安装在运行 Windows 2000 Service Pack 2 或 Service Pack 3 的系统上。

Windowsxp：

此修补程序可以安装在运行 Windows XP Gold 或 Service Pack 1 的系统上。

包含在将来的 Service Pack 中：

此问题的修补程序将包含在 Windows 2000 Service Pack 4 和 Windows XP Service Pack 2 中。

需要重新启动： 是

可以卸载修补程序： 是

取代的修补程序： 无。

验证修补程序安装：

• Windows NT 4.0：

  若要验证是否已在计算机上安装修补程序，请确认知识库文章815021中列出的文件清单中列出的所有文件都存在于系统上。

• Windows NT 4.0 终端服务器版本：

  若要验证是否已在计算机上安装修补程序，请确认知识库文章815021中列出的文件清单中列出的所有文件都存在于系统上。

• Windows 2000：

  若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q815021。

  若要验证各个文件，请使用以下注册表项中提供的日期/时间和版本信息：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows 2000\SP4\Q815021\Filelist。

• Windows XP Gold：

  若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP1\Q815021。

  若要验证各个文件，请使用以下注册表项中提供的日期/时间和版本信息：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP1\Q815021\Filelist。

• Windows XP SP1：

  若要验证是否已在系统上安装修补程序，请确认已在系统上创建以下注册表项：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP2\Q815021。 若要验证各个文件，请使用以下注册表项中提供的日期/时间和版本信息：

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows XP\SP2\Q815021\Filelist。

注意：

如果运行的是 Windows 2000 SP2，请在安装此修补程序之前检查系统上的 ntoskrnl.exe 版本。 若要验证系统上ntoskrnl.exe的版本，请执行以下步骤：

1. 浏览到 %windir%\system32 目录
2. 右键单击ntoskrnl.exe
3. 选择属性。

版本信息位于“版本”选项卡上。

5.0.2195.4797 和 5.0.2195.4928（含）之间的ntoskrnl.exe版本与此修补程序不兼容。 这些版本仅随产品支持服务修补程序一起分发。

如果此问题的修补程序安装在安装了其中一个版本的ntoskrnl.exe的系统上，则第一次重新启动时计算机将失败并显示停止0x00000071消息，并且必须使用 Windows 2000 恢复控制台和存储在“\winnt\$NTUninstallQ 815021$”目录中的ntdll.dll备份副本进行恢复。

若要使用从产品支持服务分发的 ntoskrnl.exe 版本更新系统，必须先联系 PSS 才能应用此修补程序。 有关联系产品支持服务的信息，请参阅：

https://support.microsoft.com

或者，可以在安装此修补程序之前升级到 Windows 2000 SP3，或者从 MS03-013 应用 Windows 2000 修补程序，该修补程序取代了此修补程序并更正了上述问题。

本地化：

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。

获取其他安全修补程序：

可从以下位置获取其他安全问题的修补程序：

• 安全修补程序可从 Microsoft 下载中心获取，可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
• WindowsUpdate 网站提供了使用者平台的修补程序

其他信息：

确认

Microsoft 感谢来自 ：： Operash ：： 向我们报告 Windows XP 漏洞，并与我们合作保护客户。

支持：

• Microsoft 知识库文章 815021 讨论此问题。 可以在 Microsoft Online 支持网站上找到其他知识库文章。
• Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• V1.0（2003 年 3 月 17 日）：公告已创建。
• V1.1（2003 年 3 月 18 日）：在“其他信息”部分的“注意事项”下添加了新信息，阐明了整个公告中受影响的 Windows 组件，向“常见问题”部分添加了有关 IIS 5.0 的问题，并在“常见问题”部分添加了有关“其他信息”部分的注意事项的更改的问题。
• V2.0 （2003 年 4 月 23 日）：已更新，包括 NT 4.0 修补程序的详细信息。
• V2.1 （2003 年 4 月 24 日）：已更新为包含适用于日本 NEC 的 NT4 包的下载链接
• V2.2（2003 年 4 月 24 日）：在常见问题解答中提供了有关 MS03-013 中修补程序取代 Windows 2000 修补程序的常见问题解答。
• V3.0（2003 年 5 月 28 日）：已更新，包括 Windows XP 修补程序的详细信息。
• V3.1（2003 年 5 月 28 日）：已更新，包括正确的 Windows NT 4.0 和 Windows XP 验证密钥。
• V3.2（2003 年 5 月 28 日）：更新了有关 IIS 5.1 的常见问题解答部分
• V3.3（2003 年 5 月 30 日）：更新了确认部分。
• V3.4（2003 年 9 月 18 日）：已更新为包括 Windows XP SP1 验证密钥。

构建于 2014-04-18T13：49：36Z-07：00</https：>