※ 详细技术资料
※ 修补程序
※ 常见问题解答
摘要
发布日期:2003年10月15日
漏洞标识符:CAN-2003-0717
漏洞的影响:执行远程代码
最高严重等级:严重
建议:客户应尽早安装该修补程序。
受影响的软件:
· Microsoft Windows NT Workstation 4.0, Service Pack 6a
· Microsoft Windows NT Server 4.0, Service Pack 6a
· Microsoft Windows NT Server 4.0, 终端服务器版, Service Pack 6
· Microsoft Windows 2000, Service Pack 2
· Microsoft Windows 2000, Service Pack 3, Service Pack 4
· Microsoft Windows XP Gold, Service Pack 1
· Microsoft Windows XP 64-bit Edition
· Microsoft Windows XP 64-bit Edition Version 2003
· Microsoft Windows Server 2003
· Microsoft Windows Server 2003 64-bit Edition
不受影响的软件:
· Microsoft Windows Millennium
详细技术资料
技术说明:
在 Messenger 服务中存在一个安全漏洞,该漏洞会允许在受影响的系统中执行任意代码。导致该漏洞的原因为 Messenger 服务未能在将一个消息传递到已分配好的缓冲区之前正确地验证该消息的长度。
成功利用此漏洞的攻击者可以使用本地系统权限在受影响的系统上运行代码,或者可以使 Messenger 服务失败。然后攻击者将能够对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。
安全修补程序:
· Microsoft Windows NT Workstation 4.0, Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=7597FCF4-6615-4074-9E46-A17D808ED38D
· Microsoft Windows NT Server 4.0, Service Pack 6a:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=B1949456-996A-485A-9A28-79FD79F26A1B
· Microsoft Windows NT Server 4.0, 终端服务器版, Service Pack 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=64AB4B66-1A6E-4264-93A8-26CDB98B05A8&displaylang=en
· Microsoft Windows 2000, Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=99F1B40D-906A-4945-A021-4B494CCCBDE0
· Microsoft Windows XP Gold, Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=F02DA309-4B0A-4438-A0B9-5B67414C3833
· Microsoft Windows XP 64-bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2BE95254-4C65-4CA5-80A5-55FDF5AA2296&displaylang=en
· Microsoft Windows XP 64-bit Edition Version 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en
· Microsoft Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=1DF106F3-7EC4-4EB0-9143-C1E3C9E2F5F8
· Microsoft Windows Server 2003 64-bit Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8B990946-84C8-4C91-899C-5A44EC13174E&displaylang=en
变通办法:
· 消息是通过 NetBIOS 或 RPC 传送到 Messenger 服务的。如果用户已使用防火墙封堵 NetBIOS 端口(端口 137-139)和 UDP 广播包,则其他人将无法通过这些端口向该用户发送消息。大多数防火墙(如 Windows XP 中的"Internet 连接防火墙")在默认情况下会封堵 NetBIOS。
· 在防火墙中封堵 UDP 端口 135 可以防止可能的攻击。
· 禁用 Messenger 服务可以防止可能的攻击。
· 在 Windows Server 2003 系统中,在默认情况下会禁用 Messenger 服务。
变通办法的影响:
如果禁用 Messenger 服务,来自警报服务(例如来自备份软件或不间断电源的通知)的消息将不会被传送。如果禁用 Messenger 服务,所有显式地依赖于 Messenger 服务的服务将不会启动,并且将错误消息记录到系统事件日志中。
常见问题解答
问:该漏洞的影响范围有多大?
答:这是一种 缓冲区溢出漏洞。成功利用此漏洞的攻击者可以使用本地系统权限在受影响的系统上运行代码,或者可以使 Messenger 服务失败。攻击者于是能够对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。
问:什么是 Windows Messenger 服务?
答:Messenger 服务是一个 Windows 服务,它传送 net send 消息和通过警报服务在客户计算机和服务器之间发送的消息。例如,网络管理员可使用 Messenger 服务向网络用户发送管理警报。Messenger 服务也可被 Windows 和其他软件程序所使用。例如,Windows 可能会当打印作业完成或当计算机断电而切换到不间断电源 (UPS) 时使用该服务来通知用户。Messenger 服务与 Web 浏览器、电子邮件程序、Windows Messenger 和 MSN Messenger 无关。
问:此漏洞因何而起?
答:此漏洞的原因是,Messenger 服务中存在未经检查的缓冲区。
如果该漏洞被利用,攻击者可获得受影响的系统的本地系统权限,或者使服务失败。
问:Messenger 服务与 Windows Messenger 或 MSN Messenger 相同么?
答:不,需要格外注意的是,Messenger 服务与 Windows Messenger 和 MSN Messenger 是不同的。Windows Messenger 和 MSN Messenger 是允许用户交谈、共享图片和视频等的即时消息服务。而Messenger 服务只是一个简单的只允许使用文本的广播服务,该服务通常由管理员使用,用来向用户发送警报,或者对系统断电和服务器维护等情况向用户发出警告。
问:Messenger 服务存在什么问题?
答:导致该漏洞的原因为 Messenger 服务未能在将一个消息传递到已分配好的缓冲区之前正确地验证该消息的长度。
问:攻击者可利用此漏洞做什么?
答:成功利用此漏洞的攻击者可以使用本地系统权限在受影响的系统上运行代码,或者可以使 Messenger 服务失败。然后攻击者将能够对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。
问:攻击者可能如何利用此漏洞?
答:攻击者可以通过创建特制的消息并将其发送到受影响系统的 Messenger 服务来设法利用此漏洞。
问:此修补程序有何作用?
答:此修补程序通过确保 Messenger 服务在将一个消息传递到已分配好的缓冲区之前正确地验证该消息的长度来消除该漏洞。
问:此修补程序是否包含其他修订?
答:是的。除了修订本文所讨论的漏洞,该修补程序还包含一个用于更正 Microsoft 知识库文章:330904(出现包含 Internet 广告的 Messenger 服务窗口)中所描述的问题的修订程序。应用此修补程序将禁用 Messenger 服务对 UDP 请求的监听。在安装该修补程序后,Messenger 服务将只监听传入的 NETBIOS 通信。
东软网络安全 微信号:Neusoft_NetEye
