东软新近发布了NetEye防火墙系统(Ver3.2)dcom溢出攻击升级包和NetEye IDS升级包030808(Ver2.1.1)。升级包NETi32-dcom_leak-20030807.upgrade是为了当前网络中针对windows 系统的dcom溢出攻击(参见:http://www.microsoft.com/security/security_bulletins/ms03-026.asp)而开发的一个升级包。升级包将对包含攻击特征的连接进行阻断。该升级包能检测到dcom溢出攻击,并发出日志报警信息的功能,所有的攻击或扫描都有日志记录,内容为“发现从[源IP[端口]]到[目的IP[端口]]的DCOM溢出攻击,拒绝访问”。
NetEye IDS升级包030808(Ver2.1.1)具有以下特点:
一、支持系统: 本升级包适用于NetEye IDS 2.1.1的升级。
二、功能完善:
1、规则库升级到 0211030806
2、规则库新增规则8条(RPC服务类的最后8条),共1689 条
3、产品升级到 NetEye IDS 2.1.1 SP2。
三、升级步骤: NetEye IDS 管理器在主控状态下使用菜单:工具-规则库升级。升级完成后可使用菜单:工具-系统信息来查看规则库版本及系统版本。
※ 漏洞概述
※ 详细技术资料
※ 预防方法
漏洞概述:
目前正有一种未知病毒大规模爆发,暂时还没有明确的解决办法,请近期慎用操作系统为WINDOWS XP和WINDOWS 2000的机器上网。
本公告的目标读者:运行Microsoft Windows 的用户。
漏洞的影响:运行攻击者选择的代码
最高严重等级:严重
建议:系统管理员应立即应用此修补程序。
受影响的软件:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
详细技术资料:
远程过程调用(RPC)是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型(DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定(UNC) 路径)。
为利用此漏洞,攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。
预防方法:
为利用此漏洞,攻击者可能需要拥有向远程计算机上的 135 端口发送精心编造的请求的能力。对于Internet 环境,此端口通常是可以访问的;但对于通过Internet 相连的计算机,防火墙通常会封堵 135 端口。如果没有封堵该端口,或者在 Intranet 环境中,攻击者就不需要有任何其他特权。
最佳做法是封堵所有实际上未使用的 TCP/IP 端口。因此,大多数连接到Internet的计算机应当封堵135 端口。RPC over TCP 不适合在Internet这样存在着危险的环境中使用。像 RPC over HTTP 这样更坚实的协议适用于有潜在危险的环境。
要详细了解有关为客户端和服务器保护 RPC 的详细信息,请访问:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp。
要了解有关 RPC 使用的端口的详细信息,请访问:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/tcpip/part4/tcpappc.asp
※ 安全修补程序可以从 Microsoft下载中心获得,通过执行"security_patch"关键字搜索即可方便地找到。
※ 有关客户平台的修补程序可从 WindowsUpdate Web 站点获得。
东软网络安全 微信号:Neusoft_NetEye
