安全公告

Microsoft 安全公告 MS04-008 - 中等

Windows Media 服务中的漏洞可能允许拒绝服务（832359）

发布时间： 2004 年 3 月 9 日

版本： 1.0

发布日期： 2004 年 3 月 9 日
版本： 1.0

总结

应阅读本文档的人员：
使用 Microsoft® Windows® 2000 的客户

漏洞的影响：
拒绝服务

最大严重性分级：
中等

建议：
系统管理员应考虑将安全更新应用于运行 Windows 2000 Server 且已安装 Windows Media 服务 4.1 的系统。

安全更新替换：
无

注意：
无

测试的软件和安全更新下载位置：

受影响的软件

• Microsoft Windows 2000 Server Service Pack 2、Microsoft Windows 2000 Server Service Pack 3、Microsoft Windows 2000 Server Service Pack 4 -下载更新

受影响的软件

• Microsoft Windows NT® Workstation 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 Service Pack 6a
• Microsoft Windows NT Server 4.0 终端服务器版本 Service Pack 6
• Microsoft Windows 2000 Professional Service Pack 2、Microsoft Windows 2000 Professional Service Pack 3、Microsoft 2000 Professional Service Pack 4
• Microsoft Windows XP、Microsoft Windows XP Service Pack 1
• Microsoft Windows XP 64 位版 Service Pack 1
• Microsoft Windows XP 64 位版本 2003
• Microsoft Windows Server™ 2003
• Microsoft Windows Server 2003 64 位版

测试的 Microsoft Windows 组件：

受影响的组件：

• Windows Media 服务 4.1（Microsoft Windows 2000 Server 随附）

受影响的组件：

• Windows Media 服务 9.0 系列（Microsoft Windows Server 2003 随附）
• Windows Media 服务 4.1（适用于 Windows NT4 Server 下载）

上面列出的软件已经过测试，以确定版本是否受到影响。  其他版本要么不再包含安全修补程序支持，要么可能不受影响。  请查看Microsoft 支持部门生命周期网站，确定产品和版本的支持生命周期。

常规信息

技术详细信息

技术说明：

由于 Windows 媒体工作站服务和 Windows 媒体监视器服务（Windows Media 服务组件）处理 TCP/IP 连接的方式，存在漏洞。 如果远程用户将特制的 TCP/IP 数据包序列发送到其中任一服务的侦听端口，则服务可能会停止响应请求，并且无法进行其他连接。 必须重新启动该服务才能重新获得其功能。

Windows Media 服务由单个计算机上运行的Windows Media 服务 管理员istrator 和四个Windows Media 服务组件组成：

通过使用 Windows 媒体单播服务，可以通过单播（使用 TCP 或 UDP 作为传输）将 Windows 媒体内容流式传输到 Microsoft Windows 媒体播放器 或其他 Windows 媒体服务器。

Windows 媒体工作站服务执行三个关键功能：

• 它为后续流排列一个或多个内容流（也称为“播放列表”或“程序”。
• 它将播放列表或程序多播到Windows 媒体播放器或其他 Windows 媒体服务器。
• 它将播放列表或程序本地分发到 Windows 媒体单播服务，以便后续单播到Windows 媒体播放器或其他 Windows 媒体服务器。

Windows 媒体程序服务是 Windows 媒体工作站服务的依赖服务。 Windows 媒体计划服务可帮助服务器管理员使用 Windows Media 服务 管理员istrator 生成 Windows 媒体内容的播放列表，并保留这些播放列表以供将来使用。

Windows 媒体监视器服务是Windows Media 服务的管理控制台。

请注意 ，如果 Windows 媒体单播服务从 Windows 媒体工作站服务采购播放列表，则 Windows 媒体单播服务也可能受到针对 Windows 媒体工作站服务的成功攻击的影响。 在这种情况下，Windows 媒体单播服务在遇到播放列表中的下一个项目时可能会停止运行。 管理员可以使用没有播放列表的 Windows 媒体单播服务来流式传输媒体。

缓解因素：

• 默认情况下不会安装Windows Media 服务组件。
• Windows Media 服务可以配置为仅通过单播提供流媒体，然后不受此漏洞的影响。 此配置意味着无法将同一服务器的不同媒体流添加到播放列表中。
• Microsoft 建议客户仅在面向 Internet 的套接字和端口上启用 Windows 媒体单播服务，而不是Windows Media 服务的其他组件。 如果遵循这种做法，则不会向 Internet 公开攻击面。
• 直接从控制台或通过终端服务会话管理其Windows Media 服务服务器的客户不会受到针对 Windows 媒体监视器服务的任何成功拒绝服务尝试的影响。 Windows 媒体监视器服务不能远程访问，只能在本地进行访问。
• 如果已禁用 Windows 媒体工作站服务和 Windows 媒体监视器服务，则不会受到此漏洞的影响。

严重性分级：

Microsoft Windows 2000 Server	中等

上述 评估 基于受漏洞影响的系统类型、其典型部署模式以及利用漏洞对它们的影响。

漏洞标识符：CAN-2003-0905

解决方法

Microsoft 已测试以下解决方法。 这些解决方法不会更正基础漏洞。 但是，它们有助于阻止已知的攻击途径。 在某些情况下，解决方法可能会减少功能;在这种情况下，下面确定了减少功能。

• 阻止防火墙上的端口 7007 和 7778。

  如果不通过 TCP 将媒体流式传输到 Internet，则可以阻止 TCP 端口 7007。 此外，阻止端口 7778，用于通过 Windows 媒体监视器服务管理Windows Media 服务。 Windows Media 服务使用这些端口。 通过在防火墙上阻止这些端口，可以帮助防止防火墙后面的系统受到攻击，因为尝试利用此漏洞。

  解决方法的影响： 如果阻止端口 7007，将阻止多播流和启用播放列表跨防火墙运行。 如果阻止端口 7778，将阻止管理功能跨防火墙运行。

• 从控制台或通过终端服务会话管理员注册Windows Media 服务。

  直接从控制台或通过终端服务会话管理员注册Windows Media 服务服务器。 如果执行此操作，则不会受到针对 Windows 媒体监视器服务的任何成功拒绝服务尝试的影响。 原因是，即使在成功拒绝服务攻击后，仍可从托管Windows Media 服务的系统桌面访问和使用该服务。

  解决方法的影响：无。

• 停止、禁用或删除 Windows 媒体工作站服务。

  停止、禁用或删除 Windows 媒体工作站服务。

  解决方法的影响：停止、禁用或删除 Windows 媒体工作站服务将导致多播流或启用播放列表无法正常工作。

• 禁用或删除 Windows 媒体监视器服务。

  禁用或删除 Windows 媒体监视器服务。

  解决方法的影响：禁用或删除 Windows 媒体监视器服务将阻止管理Windows Media 服务。

常见问题解答

漏洞的范围是什么？
这是 拒绝服务 漏洞。 成功利用此漏洞的攻击者可能导致在运行 Windows 2000 Server 的系统上运行的 Windows 媒体工作站服务或 Windows 媒体监视器服务停止响应新请求。 对于 Windows 媒体工作站服务，结果是服务不接受任何新的 TCP 连接。 不会为媒体的新请求提供服务，也不会为播放列表中的后续项目提供服务。 对于 Windows 媒体监视器服务，结果是服务不接受任何新的 TCP 连接;但是，服务器管理员可以使用终端服务远程登录并管理Windows Media 服务。

导致漏洞的原因是什么？
此漏洞存在，因为 Windows 媒体工作站服务和 Windows 媒体监视器服务验证 TCP 请求的过程可能会导致这两个服务停止接受新的连接请求。

什么是Windows Media 服务？
Windows Media 服务是一个 Windows 服务器组件，它使内容能够通过 Internet 或 Intranet 从 Windows 媒体服务器流式传输到 Windows 媒体客户端。 接收内容的客户端可以像在播放或显示中一样呈现它，因为它在未首先下载内容的情况下接收。

安装Windows Media 服务时，系统上安装了哪些组件？
Windows Media 服务由四个 Windows 服务组成：

• Windows 媒体单播服务。 此服务通过 Internet 或 Intranet 提供单播流式传输。
• Windows 媒体工作站服务。 此服务提供多播流式处理。 若要使用多播流式传输，服务器和客户端之间的所有路由器都必须启用多播。
• Windows 媒体程序服务。 此服务向 Windows 媒体工作站服务提供顺序程序或 播放列表。 Windows 媒体单播服务也可以使用播放列表，该服务使用 Windows 媒体工作站服务和 Windows 媒体程序服务中的功能来运行。
• Windows 媒体监视器服务。 这是用于Windows Media 服务的帮助程序服务;它监视客户端和服务器连接，是管理Windows Media 服务的服务。

媒体流式传输的单播和多播方法是什么？
单播和多播媒体流式传输是跨网络将媒体内容传送到客户端的方法。 单播是一个文件传输过程，其中数据的单独副本从服务器发送到请求它的每个客户端。 多播是一个文件传输过程，其中发送数据的单个副本，但所有客户端都会访问正在进行的单个流。 不会通过网络发送多个数据副本。 有关多播媒体流式处理的详细信息，请参阅Windows Media 服务 4.1 网站的多播流式处理。

漏洞可能允许攻击者执行哪些操作？
未经身份验证的攻击者可以将特制的 TCP/IP 数据包序列发送到服务器，这可能导致 Windows 媒体工作站服务停止接受新请求。 Windows 媒体工作站服务仍能够在已进行的 TCP 连接上流式传输媒体，但不接受新请求。 不会为媒体的新请求提供服务。 播放列表中下一项的请求也不会提供服务，因为它们本质上是新的请求。 若要从此状态恢复，管理员必须重启服务。

谁可以利用漏洞？
连接到 Windows 媒体工作站服务或 Windows 媒体监视器服务的未经身份验证的攻击者可能会通过导致服务停止响应新请求来利用此漏洞。

哪些系统主要面临漏洞的风险？
将此更新应用于安装了适用于 Windows 2000 Server 的 Windows Media Center Services 的系统。

我在 Windows NT4 Server 上运行 Windows Media 服务 4.1。 我是否受此漏洞的影响？
否。 Windows Media 服务 4.1（适用于 Windows NT4 Server 下载）不受此漏洞的影响。

更新的作用是什么？
此更新可确保 Windows 媒体工作站服务和 Windows 媒体监视器服务正确验证 TCP 请求。

安全更新信息

安装平台和先决条件：

有关平台的特定安全更新的信息，请单击相应的链接：

Windows 2000 Server （所有版本）

先决条件

对于 Windows 2000 Server，此安全更新需要 Service Pack 2（SP2）、Service Pack 3（SP3）或 Service Pack 4（SP4）。

上面列出的软件已经过测试，以确定版本是否受到影响。  其他版本要么不再包含安全修补程序支持，要么可能不受影响。  请查看Microsoft 支持部门生命周期网站，确定产品和版本的支持生命周期。

有关其他信息，请单击以下文章编号以查看 Microsoft 知识库中的文章： 260910 如何获取最新的 Windows 2000 Service Pack

包含在将来的 Service Pack 中：

此问题的修补程序将包含在 Windows 2000 Service Pack 5 中。

安装信息

此安全更新支持以下安装开关：

/help 显示命令行选项

设置模式

/quiet 使用静默 模式（无用户交互或显示）

/被动 无人参与模式（仅进度栏）

/uninstalls Uninstalls the package

重启选项

/norestart 安装完成后不要重启

/forcerestart 安装后重启

特殊选项

/l 列出已安装的 Windows 修补程序或更新包

/o 覆盖 OEM 文件而不提示

/n 不备份卸载所需的文件

/f 强制计算机关闭时关闭其他程序

注意： 可以将这些开关合并到一个命令中。 为了向后兼容，安全更新还支持以前版本的安装实用工具使用的安装程序开关。 有关支持的安装开关的其他信息，请查看知识库文章 262841。

部署信息

若要在不进行任何用户干预的情况下安装安全更新，请在命令提示符下使用以下命令，提示 Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 或 Windows 2000 Service Pack 4：WindowsMedia41-知识库(KB)832359-ENU /passive /quiet

若要安装安全更新而不强制计算机重启，请在命令提示符下使用以下命令，提示 Windows 2000 Service Pack 2、Windows 2000 Service Pack 3 或 Windows 2000 Service Pack 4：WindowsMedia41-知识库(KB)832359-ENU /norestart

有关如何使用软件更新服务部署此安全更新的信息，请访问 软件更新服务网站。

重启要求

在某些情况下，此更新不需要重新启动。 安装程序停止所需的服务，应用更新，然后重启服务。 但是，如果出于任何原因而无法停止所需的服务，或者所需的文件正在使用中，则此更新将需要重新启动。 如果发生这种情况，将显示一条消息，建议你重新启动。

删除信息

若要删除此安全更新，请使用控制面板中的“添加/删除程序”工具。

系统管理员可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe实用工具位于 %Windir%\$NTUninstall知识库(KB)832359$\Spuninst 文件夹中。 Spuninst.exe实用工具支持以下安装开关：

/？：显示安装开关的列表。

/u：使用无人参与模式。

/f：强制其他程序在计算机关闭时退出。

/z：安装完成后不要重启。

/q：使用静默模式（无用户交互）。

文件信息

此修补程序的英文版本包含下表中列出的文件属性（或更高版本）。 这些文件的日期和时间以协调世界时（UTC）列出。 查看文件信息时，会将其转换为本地时间。 若要查找 UTC 与本地时间之间的差异，请使用 控制面板 中的“日期和时间”工具中的“时区”选项卡。

Windows 2000 Service Pack 2、Windows 2000 Service Pack 3、Windows 2000 Service Pack 4

Date         Time   Version        Size     File name------------------------------------------------------15-Jan-2004  02:51  4.1.0.3934     222,384  Nscm.exe15-Jan-2004  02:48  4.1.0.3934      31,808  Nspmon.exe

验证更新安装

若要验证受影响的系统上是否安装了安全更新，可以使用 Microsoft 基线安全分析器 （MBSA） 工具。 Microsoft 基线安全分析器（MBSA）允许管理员扫描本地和远程系统，了解缺少安全更新以及常见的安全配置错误。 有关 MBSA 的其他信息，请访问 Microsoft 基线安全分析器 网站。

还可以通过查看以下注册表项来验证此安全更新安装的文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\汇报\Windows Media 服务\知识库(KB)832359\FileList

请注意 ，当管理员或 OEM 将832359安全更新集成到 Windows 安装源文件中时，可能无法正确创建此注册表项。

其他信息

确认

Microsoft 感谢 以下部门与我们合作，帮助保护客户：

• 用于报告问题的 Qualys 。

获取其他安全更新：

可从以下位置获取其他安全问题汇报：

• 安全更新可从 Microsoft 下载中心获取，可通过关键字 (keyword)搜索“security_patch”轻松找到。
• Windows 更新网站提供了适用于使用者平台的汇报。

支持：

• 美国 和加拿大的客户可从 1-866-PCSAFETY 的 Microsoft 产品支持服务 获得技术支持。 对于与安全更新关联的支持调用，不收取任何费用。
• 国际客户可以从其本地 Microsoft 子公司获得支持。 与安全更新关联的支持不收取任何费用。  有关如何联系 Microsoft 支持部门的信息，请参阅 国际支持网站。

安全资源：

• Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
• Microsoft 软件更新服务
• Microsoft 基线安全分析器 （MBSA）
• Windows 更新
• Windows 更新目录：有关Windows 更新目录的详细信息，请查看知识库文章323166。
• 办公室更新

软件更新服务：

Microsoft 软件更新服务（SUS）使管理员能够快速可靠地将最新的关键更新和安全更新部署到基于 Windows 2000 和 Windows Server™ 2003 的服务器，以及运行 Windows® 2000 Professional 或 Windows XP Professional 的台式计算机。

有关如何使用软件更新服务部署此安全更新的信息，请访问 软件更新服务 网站。

系统管理服务器：

系统管理服务器可以提供部署此安全更新的帮助。 有关系统管理服务器的信息， 请访问 SMS 网站。 有关 SMS 2003 提供的安全更新部署过程的许多增强功能的详细信息，请访问 SMS 2003 安全修补程序管理网站。  对于 SMS 2.0 的用户，它还提供了一些其他工具来帮助管理员部署安全更新，例如 SMS 2.0 软件更新服务功能包和 SMS 2.0 管理员管理功能包。 SMS 2.0 软件更新服务功能包利用 Microsoft 基线安全分析器和Microsoft 办公室检测工具为安全公告修正提供广泛的支持。 某些软件更新可能需要在重启计算机后拥有管理权限

注意：SMS 2.0 软件更新服务功能包的清单功能可用于面向特定计算机的更新，SMS 2.0 管理员管理功能包的提升权限部署工具可用于安装。 这为需要在重启计算机后使用系统管理服务器和管理权限的更新提供最佳部署。

免责声明：

Microsoft 知识库中提供的信息“按原样”提供，不提供任何形式的担保。 Microsoft 不明确或暗示所有保证，包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下，Microsoft Corporation 或其供应商都应对任何损害负责，包括直接、间接、附带、后果性、业务利润损失或特殊损害，即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任，因此上述限制可能不适用。

修改：

• V1.0（2004 年 3 月 9 日）：已发布公告

生成于 2014-04-18T13：49：36Z-07：00