荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: wolfron (flyselina我爱你^O^), 信区: Microsoft
标 题: RPC 接口中的缓冲区溢出可能提供代码执行机会
发信站: 荔园晨风BBS站 (Wed Aug 13 20:42:30 2003), 站内信件
这篇文章中的信息适用于:
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
症状
远程过程调用 (RPC) 是 Windows 操作系统所使用的一种协议。RPC 提供了一种进
程间通信机制,使得在一台计算机上运行的程序可以顺畅地在远程计算机上运行代
码。这种协议本身是从 Open Software Foundation(OSF,开放软件基金)开发的
RPC 协议衍生出来的。Windows 所使用的 RPC 协议包括其他一些 Microsoft 特
定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分存在一个漏洞。导致此错误的原因是没
有正确处理格式不正确的消息。这个特定的漏洞会影响使用 RPC 的分布式组件对
象模型 (DCOM) 接口。此接口在 TCP/IP 端口 135 上侦听,并处理由客户端计算
机发送到服务器的 DCOM 对象激活请求(比如通用命名约定 [UNC] 路径)。
要想利用此漏洞,攻击者必须通过端口 135 向远程计算机发送特殊形式的请求。
缓解因素
要想利用此漏洞,攻击者必须能够通过 135 端口向远程计算机发送特殊形式的请
求。在 Intranet 环境中,此端口通常是可以访问的,而对于连接到 Internet 的
计算机,135 端口通常是被防火墙禁止的。如果此端口没有被禁止,或者是在
Intranet 环境中,攻击者则不必具有任何其他权限。
建议的最佳做法包括禁止所有实际上并不使用的 TCP/IP 端口。因此,大多数连接
到 Internet 的计算机都应该禁止 135 端口。基于 TCP 的 RPC 并不是为在危险
环境(如 Internet)中使用而设计的。有专门用于危险环境的更可靠的协议,例
如基于超文本传输协议 (HTTP) 的 RPC。
解决方案
安全修补程序信息
有关如何解决此漏洞的详细信息,请单击以下列表中的相应链接:
Windows Server 2003(所有版本)
Windows XP(所有版本)
Windows 2000(所有版本)
Windows NT 4.0(所有版本)
Windows Server 2003(所有版本)
下载信息
可以从 Microsoft 下载中心下载下列文件:
Windows Server 2003 32 位版本
立即下载 823980 软件包。
Windows Server 2003 64 位版本
立即下载 823980 软件包。
发布日期:2003 年 7 月 16 日
有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看
Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时可以获
得的最新病毒检测软件。此文件存储在具有增强安全性的服务器上,以防止他人在
未经授权的情况下更改此文件。
先决条件
此安全修补程序需要 Windows Server 2003 的正式发行版本。
安装信息
此安全修补程序支持下列安装开关选项:
/?:显示安装开关列表。
/u:使用“无人值守”模式。
/f:当计算机关闭时强制其他程序退出。
/n:不必为卸载备份文件。
/o:在没有提示的情况下覆盖 OEM 文件。
/z:完成安装后不重新启动计算机。
/q:使用“静默”模式(无用户交互)。
/l:列出已安装的修复程序。
/x:解压缩文件但不运行安装程序。
要验证计算机上是否已安装此安全修补程序,请检查以下注册表项是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server
2003\SP1\KB823980
部署信息
要在无须任何用户参与的情况下安装此安全修补程序,请使用下面的命令:
WindowsServer2003-KB823980-x86-ENU /u /q
要在不强制重新启动计算机的情况下安装此安全修补程序,请使用下面的命令:
WindowsServer2003-KB823980-x86-ENU /z
注意:可以将这些开关组合在一个命令中使用。
有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的
Microsoft Web 站点:
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp
重新启动要求
应用此安全修补程序之后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。
系统管理员可以使用 Spunist.exe 实用程序删除此安全修补程序。Spuninst.
exe 实用程序位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实
用程序支持下列安装开关选项:
/?:显示安装开关列表。
/u:使用“无人值守”模式。
/f:当计算机关闭时强制其他程序退出。
/z:完成安装后不重新启动计算机。
/q:使用“静默”模式(无用户交互)。
安全修补程序替代信息
此安全修补程序不替代任何其他安全修补程序。
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日
期和时间按协调通用时间 (UTC) 列出。查看文件信息时,这将转换为本地时间。
要了解 UTC 与本地时间之间的时差,请使用“控制面板”的“日期和时间”工具
中的“时区”选项卡。
Windows Server 2003 32 位版本:日期 时间 版本 大小 文
件名
--------------------------------------------------------------
2003-07-10 19:38 5.2.3790.68 1,182,720 Ole32.dll
2003-07-10 19:38 5.2.3790.59 657,920 Rpcrt4.dll
2003-07-10 19:38 5.2.3790.68 217,088 Rpcss.dll
2003-07-10 19:34 5.2.3790.68 1,182,720 Ole32.dll
2003-07-10 19:34 5.2.3790.63 658,432 Rpcrt4.dll
2003-07-10 19:34 5.2.3790.68 217,600 Rpcss.dll
Windows Server 2003 64 位版本:日期 时间 版本 大小 文
件名
--------------------------------------------------------------
2003-07-05 20:05 5.2.3790.68 3,549,184 Ole32.dll (IA64)
2003-07-05 20:05 5.2.3790.59 2,127,872 Rpcrt4.dll (IA64)
2003-07-05 20:05 5.2.3790.68 660,992 Rpcss.dll (IA64)
2003-07-05 20:03 5.2.3790.68 3,548,672 Ole32.dll (IA64)
2003-07-05 20:03 5.2.3790.63 2,128,384 Rpcrt4.dll (IA64)
2003-07-05 20:03 5.2.3790.68 662,016 Rpcss.dll (IA64)
2003-07-05 20:03 5.2.3790.68 1,182,720 Wole32.dll (X86)
2003-07-05 20:03 5.2.3790.59 539,648 Wrpcrt4.dll (X86)
2003-07-05 20:01 5.2.3790.68 1,182,720 Wole32.dll (X86)
2003-07-05 20:01 5.2.3790.63 539,648 Wrpcrt4.dll (X86)
您还可以通过查看下面的注册表项,检查此安全修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server
2003\SP1\KB823980\Filelist
Windows XP(所有版本)
下载信息
可以从 Microsoft 下载中心下载下列文件:
Windows XP Professional 和 Windows XP Home Edition
立即下载 823980 软件包。
Windows XP 64 位版本
立即下载 823980 软件包。
发布日期:2003 年 7 月 16 日
有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看
Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时可以获
得的最新病毒检测软件。此文件存储在具有增强安全性的服务器上,以防止他人在
未经授权的情况下更改此文件。
先决条件
此安全修补程序需要 Windows XP 或 Windows XP Service Pack 1 (SP1) 的正式
发行版本。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中
相应的文章:
322389 How to Obtain the Latest Windows XP Service Pack
安装信息
此安全修补程序支持下列安装开关选项:
/?:显示安装开关列表。
/u:使用“无人值守”模式。
/f:当计算机关闭时强制其他程序退出。
/n:不必为卸载备份文件。
/o:在没有提示的情况下覆盖 OEM 文件。
/z:完成安装后不重新启动计算机。
/q:使用“静默”模式(无用户交互)。
/l:列出已安装的修复程序。
/x:解压缩文件但不运行安装程序。
要验证计算机上是否已安装此安全修补程序,请检查以下注册表项是否存在:
Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB823980
带有 Service Pack 1 (SP1) 的 Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB823980
部署信息
要在无须任何用户参与的情况下安装此安全修补程序,请使用下面的命令:
WindowsXP-KB823980-x86-ENU /u /q
要在不强制重新启动计算机的情况下安装此安全修补程序,请使用下面的命令:
WindowsXP-KB823980-x86-ENU /z
注意:可以将这些开关组合在一个命令中使用。
有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的
Microsoft Web 站点:
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp
重新启动要求
应用此安全修补程序之后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。
系统管理员可以使用 Spunist.exe 实用程序删除此安全修补程序。Spuninst.
exe 实用程序位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实
用程序支持下列安装开关选项:
/?:显示安装开关列表。
/u:使用“无人值守”模式。
/f:当计算机关闭时强制其他程序退出。
/z:完成安装后不重新启动计算机。
/q:使用“静默”模式(无用户交互)。
安全修补程序替代信息
此安全修补程序不替代任何其他安全修补程序。
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日
期和时间按协调通用时间 (UTC) 列出。查看文件信息时,这将转换为本地时间。
要了解 UTC 与本地时间之间的时差,请使用“控制面板”的“日期和时间”工具
中的“时区”选项卡。
Windows XP Professional 和 Windows XP Home Edition:
日期 时间 版本 大小 文件名
--------------------------------------------------------------
2003-07-05 19:14 5.1.2600.115 1,092,096 Ole32.dll
2003-07-05 19:14 5.1.2600.109 439,296 Rpcrt4.dll
2003-07-05 19:14 5.1.2600.115 203,264 Rpcss.dll
2003-07-05 19:12 5.1.2600.1243 1,120,256 Ole32.dll
2003-07-05 19:12 5.1.2600.1230 504,320 Rpcrt4.dll
2003-07-05 19:12 5.1.2600.1243 202,752 Rpcss.dll
Windows XP 64 位版本:
日期 时间 版本 大小 文件名
--------------------------------------------------------------
2003-03-21 23:55 5.3.16.5 59,904 Xpsp1hfm.exe (IA64)
2003-07-05 19:15 5.1.2600.115 4,191,744 Ole32.dll (IA64)
2003-07-05 19:15 5.1.2600.109 2,025,472 Rpcrt4.dll (IA64)
2003-07-05 19:15 5.1.2600.115 737,792 Rpcss.dll (IA64)
2003-07-05 19:12 5.1.2600.1243 4,292,608 Ole32.dll (IA64)
2003-07-05 19:12 5.1.2600.1230 2,292,224 Rpcrt4.dll (IA64)
2003-07-05 19:12 5.1.2600.1243 738,304 Rpcss.dll (IA64)
2003-07-05 18:37 5.1.2600.115 1,092,096 Wole32.dll (X86)
2003-01-03 02:06 5.1.2600.109 440,320 Wrpcrt4.dll (X86)
2003-07-05 18:07 5.1.2600.1243 1,120,256 Wole32.dll (X86)
2003-06-04 17:35 5.1.2600.1230 505,344 Wrpcrt4.dll (X86)
您还可以通过查看下面的注册表项,检查此安全修补程序安装的文件:
Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
XP\SP1\KB823980\Filelist
带有 Service Pack 1 (SP1) 的 Windows XP:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
XP\SP2\KB823980\Filelist
Windows 2000(所有版本)
下载信息
可以从 Microsoft 下载中心下载下列文件:
立即下载 823980 软件包。
发布日期:2003 年 7 月 16 日
有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看
Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时可以获
得的最新病毒检测软件。此文件存储在具有增强安全性的服务器上,以防止他人在
未经授权的情况下更改此文件。
先决条件
此安全修补程序需要 Windows 2000 Service Pack 3 (SP3) 或 Windows 2000
Service Pack 4 (SP4)。 有关其他信息,请单击下面的文章编号,以查看
Microsoft 知识库中相应的文章:
260910 How to Obtain the Latest Windows 2000 Service Pack
安装信息
此安全修补程序支持下列安装开关选项:
/?:显示安装开关列表。
/u:使用“无人值守”模式。
/f:当计算机关闭时强制其他程序退出。
/n:不必为卸载备份文件。
/o:在没有提示的情况下覆盖 OEM 文件。
/z:完成安装后不重新启动计算机。
/q:使用“静默”模式(无用户交互)。
/l:列出已安装的修复程序。
/x:解压缩文件但不运行安装程序。
要验证计算机上是否已安装此安全修补程序,请检查以下注册表项是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
2000\SP5\KB823980
部署信息
要在无须任何用户参与的情况下安装此安全修补程序,请使用下面的命令:
Windows2000-KB823980-x86-ENU /u /q
要在不强制重新启动计算机的情况下安装此安全修补程序,请使用下面的命令:
Windows2000-KB823980-x86-ENU /z
注意:可以将这些开关组合在一个命令中使用。
有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的
Microsoft Web 站点:
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp
重新启动要求
应用此安全修补程序之后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。
系统管理员可以使用 Spunist.exe 实用程序删除此安全修补程序。Spuninst.
exe 实用程序位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实
用程序支持下列安装开关选项:
/?:显示安装开关列表。
/u:使用“无人值守”模式。
/f:当计算机关闭时强制其他程序退出。
/z:完成安装后不重新启动计算机。
/q:使用“静默”模式(无用户交互)。
安全修补程序替代信息
此安全修补程序不替代任何其他安全修补程序。
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日
期和时间按协调通用时间 (UTC) 列出。查看文件信息时,这将转换为本地时间。
要了解 UTC 与本地时间之间的时差,请使用“控制面板”的“日期和时间”工具
中的“时区”选项卡。
日期 时间 版本 大小 文件名
--------------------------------------------------------------
2003-07-05 17:15 5.0.2195.6769 944,912 Ole32.dll
2003-07-05 17:15 5.0.2195.6753 432,400 Rpcrt4.dll
2003-07-05 17:15 5.0.2195.6769 188,688 Rpcss.dll
您还可以通过查看下面的注册表项,检查此安全修补程序安装的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
2000\SP5\KB823980\Filelist
Windows NT 4.0(所有版本)
下载信息
可以从 Microsoft 下载中心下载下列文件:
Windows NT 4.0:
立即下载 823980 软件包。
Windows NT 4.0 Server 终端服务器版:
立即下载 823980 软件包。
发布日期:2003 年 7 月 16 日
有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看
Microsoft 知识库中相应的文章:
119591 How to Obtain Microsoft Support Files from Online Services
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是此文件发布时可以获
得的最新病毒检测软件。此文件存储在具有增强安全性的服务器上,以防止在未经
授权的情况下更改此文件。
先决条件
此安全修补程序需要 Windows NT 4.0 Service Pack 6a (SP6a) 或 Windows NT
Server 4.0 终端服务器版 Service Pack 6 (SP6)。 有关其他信息,请单击下面
的文章编号,以查看 Microsoft 知识库中相应的文章:
152734 How to Obtain the Latest Windows NT 4.0 Service Pack
安装信息
此安全修补程序支持下列安装开关选项:
/y:执行删除(仅与 /m 或 /q 一起使用)。
/f:当关机时强制程序关闭。
/n:不创建卸载文件夹。
/z:更新完成后不重新启动计算机。
/q:使用不带用户界面的“静默”或“无人值守”模式(此开关是 /m 的一个超集
)。
/m:使用带用户界面的“无人值守”模式。
/l:列出已安装的修复程序。
/x:解压缩文件但不运行安装程序。
要验证计算机上是否已安装此安全修补程序,请检查以下注册表项是否存在:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows NT\SP6\KB823980
部署信息
要在无须任何用户参与的情况下安装此安全修补程序,请使用下面的命令:
Q823980i /q
要在不强制重新启动计算机的情况下安装此安全修补程序,请使用下面的命令:
Q823980i /z
注意:可以将这些开关组合在一个命令中使用。
有关如何使用软件更新服务来部署此安全修补程序的信息,请访问下面的
Microsoft Web 站点:
http://www.microsoft.com/windows2000/windowsupdate/sus/susoverview.asp
重新启动要求
应用此安全修补程序之后,必须重新启动计算机。
删除信息
要删除此安全修补程序,请使用“控制面板”中的“添加或删除程序”工具。
系统管理员可以使用 Spunist.exe 实用程序删除此安全修补程序。Spuninst.
exe 实用程序位于 %Windir%\$NTUninstallKB823980$\Spuninst 文件夹中。此实
用程序支持下列安装开关选项:
/?:显示安装开关列表。
/u:使用“无人值守”模式。
/f:当计算机关闭时强制其他程序退出。
/z:安装完成后不重新启动计算机。
/q:使用“静默”模式(无用户交互)。
安全修补程序替代信息
此安全修补程序不替代任何其他安全修补程序。
文件信息
此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日
期和时间按协调通用时间 (UTC) 列出。查看文件信息时,这将转换为本地时间。
要了解 UTC 与本地时间之间的时差,请使用“控制面板”的“日期和时间”工具
中的“时区”选项卡。
Windows NT 4.0 Server:
日期 时间 版本 大小 文件名
--------------------------------------------------------------
2003-07-05 12:26 4.0.1381.7224 701,200 Ole32.dll
2003-07-05 12:26 4.0.1381.7219 345,872 Rpcrt4.dll
2003-07-05 12:26 4.0.1381.7224 107,280 Rpcss.exe
Windows NT 4.0 Server 终端服务器版:
日期 时间 版本 大小 文件名
--------------------------------------------------------------
2003-07-07 10:29 4.0.1381.33549 701,712 Ole32.dll
2003-07-07 10:29 4.0.1381.33474 345,360 Rpcrt4.dll
2003-07-07 10:29 4.0.1381.33549 109,328 Rpcss.exe
要验证计算机上是否已安装此安全修补程序,请确认计算机上是否存在上表中列出
的所有文件。
替代方法
尽管 Microsoft 强烈建议所有用户尽早应用此安全修补程序,但还是提供了几个
过渡性的解决方法,以帮助阻止利用此漏洞的一些攻击手段。
这些解决方法都是临时性的措施。它们只能帮助阻止攻击途径,并不能更正底层的
漏洞。
以下几节提供了可用来保护计算机免遭攻击的信息。每节中描述了不同的解决方法
,您可以根据计算机的配置和所需的功能级别选择相应的方法。
在防火墙中禁止端口 135:端口 135 用于启动与远程计算机的 RPC 连接。在防火
墙中禁止端口 135 有助于防止有人企图利用此漏洞攻击防火墙后面的系统。
Internet 连接防火墙:如果您使用 Windows XP 或 Windows Server 2003 中的
Internet 连接防火墙功能来帮助保护您的 Internet 连接,则默认情况下,它将
禁止来自 Internet 的入站 RPC 通信。
在所有受影响的计算机上禁用 DCOM:当计算机属于某个网络的一部分时,DCOM 网
络协议可使该计算机上的 COM 对象能够与其他计算机上的 COM 对象通信。
您可以对特定的计算机禁用 DCOM 以帮助防范他人利用此漏洞发动的攻击,但这将
使该计算机上的对象无法与其他计算机上的对象通信。如果在远程计算机上禁用
DCOM,则无法远程访问该计算机以重新启用 DCOM。要重新启用 DCOM,您必须亲手
操作该计算机。
手动启用(或禁用)计算机上的 DCOM:
运行 Dcomcnfg.exe。
如果您运行的是 Windows XP 或 Windows Server 2003,请执行以下附加步骤:
在“控制台根节点”下,单击“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,右键单击“我的电脑”,然后单击“属性”。
对于远程计算机,右键单击“计算机”文件夹,指向“新建”,然后单击“计算机
”。键入计算机名称。右键单击该计算机名称,然后单击“属性”。
单击“默认属性”选项卡。
单击以选中(或单击以清除)“在这台计算机上启用分布式 COM”复选框。
如果要为该计算机设置更多的属性,请单击“应用”按钮以启用(或禁用)DCOM。
否则,单击“确定”应用更改。
退出 Dcomcnfg.exe。
--
Hope you good luck!
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.32]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店