安全公告

Microsoft 安全公告 MS03-012 - 重要提示

Winsock 代理服务和 ISA 防火墙服务中的缺陷可能会导致拒绝服务（331066）

发布时间： 2003 年 4 月 9 日

版本： 1.0

最初发布： 2003 年 4 月 9 日

总结

谁应阅读此公告： 运行 Microsoft® 代理服务器 2.0 或 Microsoft Internet 安全和加速 （ISA） Server 2000 的系统管理员。

漏洞的影响： 拒绝服务。

最大严重性分级： 重要

建议： 系统管理员应尽早安装修补程序。

受影响的软件：

• Microsoft 代理服务器 2.0
• Microsoft ISA 服务器

常规信息

技术详细信息

技术说明：

Microsoft 代理服务器 2.0 中的 Winsock 代理服务存在缺陷，ISA Server 2000 中的 Microsoft 防火墙服务允许内部网络上的攻击者发送一个特制数据包，这将导致服务器停止响应内部和外部请求。 收到此类数据包将导致服务器上的 CPU 使用率达到 100%，从而使服务器无响应。 Winsock 代理服务和 Microsoft 防火墙服务适用于 FTP、telnet、mail、news、Internet 中继聊天（IRC）或其他与 Windows 套接字（Winsock）兼容的客户端应用程序。 这些服务允许这些应用程序像直接连接到 Internet 一样执行。 这些服务将必要的通信功能重定向到代理服务器 2.0 或 ISA 服务器计算机，从而通过它建立从内部应用程序到 Internet 的通信路径。

缓解因素：

• 此漏洞不会使攻击者能够获取受影响代理服务器 2.0 或 ISA 服务器计算机的任何特权，也不会损害任何缓存的内容。 它绝对是拒绝服务。
• 在缓存模式下运行的 ISA 服务器计算机不会受到影响，因为默认情况下禁用 Microsoft 防火墙服务。

严重性分级：

代理服务器 2.0	重要
ISA 服务器	重要

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。

漏洞标识符：CAN-2003-0110

测试的版本：

Microsoft 测试了代理服务器 2.0 和 ISA 服务器，以评估这些版本是否受此漏洞的影响。 以前的版本不再 受支持，可能会或不受这些漏洞的影响。

常见问题解答

漏洞的范围是什么？
这是 拒绝服务 漏洞。 成功利用此漏洞的攻击者可能导致代理服务器 2.0 或 ISA 服务器计算机停止响应请求。 在代理服务器 2.0 中重启 Winsock 代理服务或 ISA Server 中的 Microsoft 防火墙服务将允许计算机再次正常运行，但它仍然容易受到另一次拒绝服务攻击的攻击。

攻击者如何利用此漏洞？
攻击者可以创建一个特殊形式的请求，并将其发送到运行代理服务器 2.0 或 ISA 服务器的计算机。

试图利用此漏洞的攻击是否可以从 Internet 启动？
来自 Internet 的攻击只能在非常具体的配置中实现。 仅当数据包筛选器配置为允许端口 1745 上的代理服务器 2.0 或 ISA 服务器计算机外部接口的传入流量时，才存在潜在问题。 这不是默认设置，需要以这种方式专门配置服务器，因此 Internet 攻击的可能性较低。

这允许攻击者做什么？
如果利用了漏洞，攻击者可能导致 ISA 服务器停止响应所有请求。

攻击者是否可以利用漏洞控制代理服务器 2.0 或 ISA 服务器计算机？
否。 这只是拒绝服务攻击。 无法夺回 ISA 服务器上的任何管理特权。

攻击者是否可以使用漏洞来破坏防火墙的安全性？
否。 无法使用此漏洞降低防火墙提供的安全性。

什么是代理服务器 2.0？
代理服务器 2.0 充当客户端计算机的 Internet 网关。 代理服务器通常充当专用网络和 Internet 之间的中介。 代理服务器 2.0 还会缓存 Internet 内容，供内部用户提高性能，并减少传出网络带宽。

什么是 ISA 服务器？
ISA 服务器提供企业防火墙和高性能 Web 缓存。 防火墙通过规范哪些资源可以通过防火墙访问，并在哪些条件下保护网络。 Web 缓存通过存储频繁请求的 Web 内容的本地副本来帮助提高网络性能。 ISA 服务器可以安装三种模式：防火墙模式、缓存模式或集成模式。 防火墙模式允许管理员通过配置控制公司网络与 Internet 之间的通信的规则来保护网络通信。 缓存模式通过在服务器本身上存储经常访问的网页来提高网络性能。 在集成模式下，所有缓存和防火墙功能都可用。

什么是 Winsock？
Winsock 是 Windows 套接字的缩写，是一个应用程序编程接口（API），它允许 Windows 程序使用 TCP/IP 网络协议与其他计算机通信。

什么是 Winsock 代理服务和 Microsoft 防火墙服务？
代理服务器 2.0 的 Winsock 代理服务和 ISA Server 的 Microsoft 防火墙服务都允许 Internet 应用程序像直接连接到 Internet 一样执行。 这些服务将必要的通信功能重定向到代理服务器 2.0 或 ISA 服务器计算机，从而通过服务器计算机建立从内部应用程序到 Internet 的通信路径。 这些服务消除了每个协议的特定网关的需求，例如网络新闻传输协议（NNTP）、简单邮件传输协议（SMTP）、Telnet 或文件传输协议（FTP）。

Winsock 代理服务还是 Microsoft 防火墙服务默认已启用？
默认情况下，在代理服务器 2.0 中启用 Winsock 代理服务。 默认情况下，在 ISA 服务器防火墙模式和 ISA 服务器集成模式安装中启用 Microsoft 防火墙服务器。 它在 ISA 服务器缓存模式安装中处于禁用状态。

如何实现知道任一服务是否在我的服务器上运行？
若要检测受影响的服务是否在服务器上运行，请遵循已安装的软件版本的步骤：

• 代理服务器 2.0：
  • 单击“开始”、“程序”、“Microsoft 代理服务器”、“Microsoft 管理控制台”。
  • 在 MMC 窗口中，展开控制台根目录、Internet 信息服务器。
  • 如果出现 Winsock 代理，则 Winsock 代理服务正在运行。 如果出现 Winsock 代理（已停止），则 Winsock 代理服务将停止。
• ISA 服务器：
  • 单击“开始”，设置，控制面板。
  • 双击 “管理工具” 。
  • 双击 “服务”。 如果列出 Microsoft 防火墙并且其状态为“已启动”，则 Microsoft 防火墙服务正在运行。

代理服务器 2.0 的 Winsock 代理服务和 ISA 服务器的 Microsoft 防火墙服务有什么问题？
服务错误地处理来自远程客户端的响应。 发送特定格式的请求可能会导致服务器停止响应将来的请求。

此漏洞构成的威胁有多大？
在代理服务器 2.0 中，默认情况下会启用 Winsock 代理服务。 在 ISA 服务器防火墙模式和 ISA 服务器集成模式安装中，默认启用 Microsoft 防火墙服务。 这意味着任何内部用户都可能利用此漏洞，导致代理服务器 2.0 或 ISA 服务器计算机停止响应请求。 默认情况下，在缓存模式下运行的 ISA 服务器计算机上禁用 Microsoft 防火墙服务。

修补程序的作用是什么？
该修补程序通过确保 Winsock 代理服务或 Microsoft 防火墙服务正确响应请求来消除拒绝服务攻击的可能性。

修补程序可用性

下载此修补程序的位置

• 代理服务器 2.0：
  • https://www.microsoft.com/download/details.aspx?FamilyId=C81688B7-20FB-45EB-BAFD-031A0D2923E6&displaylang;=en
• ISA 服务器：

  • 英语：

    https://www.microsoft.com/download/details.aspx?FamilyId=3C43FAD2-A888-4603-84B7-1053C8663436&displaylang;=en

  • 法语：

    https://www.microsoft.com/download/details.aspx?FamilyId=3C43FAD2-A888-4603-84B7-1053C8663436&displaylang;=fr

  • 德语：

    https://www.microsoft.com/download/details.aspx?FamilyId=3C43FAD2-A888-4603-84B7-1053C8663436&displaylang;=de

  • 西班牙语：

    https://www.microsoft.com/download/details.aspx?FamilyId=3C43FAD2-A888-4603-84B7-1053C8663436&displaylang;=es

  • 日语：

    https://www.microsoft.com/download/details.aspx?FamilyId=3C43FAD2-A888-4603-84B7-1053C8663436&displaylang;=ja

有关此修补程序的其他信息

安装平台：

Microsoft 代理服务器 2.0：

可以在运行代理服务器 2.0 Service Pack 1 的系统上安装此修补程序。

包含在未来的 Service Pack 中： 否。

需要重新启动： 是

可以卸载修补程序： 是

取代的修补程序： 无

Microsoft ISA 服务器：

此修补程序可以安装在运行 ISA Server Service Pack 1 或 ISA 服务器功能包 1 的系统上。

包含在将来的 Service Pack 中： 此问题的修补程序将包含在下一个 ISA Server Service Pack 中。

需要重新启动： 否

可以卸载修补程序： 是

取代的修补程序： 无

验证修补程序安装：

• 代理服务器 2.0：

  • 若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\HotFix\Q331066

  • 若要验证各个文件，请使用知识库文章331066中提供的日期/时间和版本信息。

• ISA 服务器：

  • 若要验证是否已在计算机上安装修补程序，请确认计算机上已创建以下注册表项：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\257

  • 或者，可以执行以下步骤来验证修补程序安装：

    1. 单击“开始”，设置，控制面板。
    2. 双击“添加/删除程序”。
    3. 单击 Microsoft ISA Server 2000 汇报。
    4. 单击更改。
    5. 打开下拉菜单。 如果出现 ISA 热修复 257，则已成功安装修补程序。

  • 若要验证各个文件，请使用知识库文章331066中提供的日期/时间和版本信息。

注意：

无

本地化：

此修补程序的本地化版本在“修补程序可用性”中讨论的位置可用。

获取其他安全修补程序：

可从以下位置获取其他安全问题的修补程序：

• 安全修补程序可从 Microsoft 下载中心获取，可通过执行关键字 (keyword)搜索“security_patch”来轻松找到。
• WindowsUpdate 网站提供了使用者平台的修补程序

其他信息：

支持：

• Microsoft 知识库文章 331066 讨论此问题，此公告发布后大约 24 小时可用。 可以在 Microsoft Online 支持网站上找到知识库文章。
• Microsoft 产品支持服务提供技术支持。 与安全修补程序关联的支持调用不收取任何费用。

安全资源：Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• V1.0 2003 年 4 月 9 日：已创建公告。

生成于 2014-04-18T13：49：36Z-07：00