技术说明:
Microsoft 在 2004 年 5 月 11 日更新了此安全公告,告知现在已提供了 Windows NT Server 4.0 终端服务器版安全更新的修订版。客户即使安装了以前的更新版本也需要安装此次的修订版。此问题不会影响其他操作系统。如果您以前对其他操作系统应用了此安全更新,则不需要再对那些系统安装此经过修订的更新。
Microsoft 在 2001 年 10 月 18 日发布了本公告的原始版本。2001 年 10 月 19 日在 Windows 2000 修补程序中发现了一个问题。我们撤销了此修补程序以进行更新和重新发布。在 2001 年 10 月 22 日发布了更新后的修补程序和公告。
建议安装了 Windows 2000 修补程序原始版本的客户安装更新后的版本。
Windows NT 4.0 和 Windows 2000 中的终端服务中实现的远程数据协议 (RDP) 无法正确处理一系列特定的数据包。如果一个受影响的服务器收到了这一类的数据包,就会导致服务器失败。通过重新启动,服务器能够回到正常服务状态,但在受攻击期间处理的所有工作都会丢失。
为了利用这一漏洞,攻击者并不需要开始一个与受影响服务器的会话 — 唯一需要的是向该服务器的 RDP 端口发送按照一定顺序的一个数据包序列。
减轻影响的因素:
- 无法通过该漏洞破坏终端服务器会话的安全性,也不能添加、更改或删除服务器上的数据。这只是一个拒绝服务漏洞。
- 该漏洞涉及的特定的数据包序列不能作为合法终端服务器会话的一部分生成。
风险等级:
|
Internet 系统 |
Intranet系统 |
客户端系统 |
Windows NT 4.0 |
低 |
中等 |
无 |
Windows 2000 |
低 |
中等 |
无 |
以上评估是基于受该漏洞影响的系统类型、其典型的部署模式以及该漏洞对它们产生的影响作出的。只有终端服务器 — 通常作为 Intranet 而不是 Internet 服务器 — 存在该漏洞风险,最坏的情况下,它会造成拒绝服务。
漏洞标识号: CAN-2001-0663
经过测试的版本:
Microsoft 测试了 Windows 2000 和 Windows NT 4.0,以评估它们是否受这些漏洞的影响。此前的版本不再受支持,它们可能会受这些漏洞的影响,也可能不受影响。
为什么要更新本公告?
本篇文章发表于www.xker.com(新客网)Microsoft 在 2004 年 5 月 11 日更新了此安全公告,告知现在已提供了 Windows NT Server 4.0 终端服务器版安全更新的修订版。客户即使安装了以前的更新版本也需要安装此次的修订版。此问题不会影响其他操作系统。如果您以前对其他操作系统应用了此安全更新,则不需要再对那些系统安装此经过修订的更新。
对本公告进行更新是因为,在 2001 年 10 月 18 日发布本公告的原始版本后不久,即在 Windows 2000 修补程序中发现一个问题。我们撤销了此修补程序以进行更新和重新发布。在 2001 年 10 月 22 日发布了更新后的修补程序和公告。
此漏洞的范围有多大?
这是一个拒绝服务漏洞。攻击者可以利用此漏洞导致 Windows NT 4.0 或 Windows 2000 终端服务器失败。服务器重新启动后一切正常,但出现故障期间处理的所有工作都会丢失。
此漏洞因何而起?
出现此漏洞是因为,Windows NT Server 4.0 终端服务器版和 Windows 2000 中的终端服务在通过远程桌面协议连接收到一个特定序列的数据包时会失败。
何为远程桌面协议?
远程桌面协议 (RDP) 是 Windows 终端服务器和客户端之间通信时使用的协议。客户端用它向服务器发送击键和鼠标点击信息,而服务器用它向客户端发送显示器信息。
攻击者可能利用此漏洞做什么?
通过向受影响的服务器上的与 RDP 关联的端口发送特定的数据包序列,攻击者可以使服务器失败。为了恢复正常服务,需要服务器操作员重新启动机器。
这对客户端有什么影响吗?
这会导致终端会话紧张,并丢失未保存的数据。不过,它不能用于直接攻击终端服务器客户端。
为了利用该漏洞,攻击者是否需要建立一个终端服务器会话?
不需要。攻击者只需要向特定的端口发送一组有特定顺序的数据包即可。
攻击者是否能够通过此漏洞劫持其他用户现有的终端服务器会话?
不能。攻击者只能利用该漏洞干扰某个会话,而不能创建一个会话或拦截会话。
用户是否会无意间通过终端服务器会话导致服务器失败?
不会。导致服务器失败所需的特定序列的数据包不会作为正常服务器会话的一部分而生成。
我有 Windows NT 4.0 和 Window 2000 服务器,但它们不是终端服务器。我会受到此漏洞的影响吗?
- 只有一种 Windows NT 4.0 版本 — Windows NT 4.0 Server 终端服务器版 — 可以配置为终端服务器。运行该版本的所有系统都会受到影响;运行 Windows NT 4.0 的其他任何版本的系统都不受影响。
- 所有 Windows 2000 服务器产品都能配置成提供终端服务,但其中的任何产品默认情况下都不会安装或运行终端服务。只有配置为提供终端服务的 Windows 2000 系统才受影响。
谁应使用此修补程序?
本篇文章发表于www.xker.com(新客网) Microsoft 建议运行 Windows NT 4.0 或 Windows 2000 终端服务器的用户安装此修补程序。
此修补程序有何作用?
该修补程序通过让终端服务器服务能够正确处理此处所述的恶意构造的 RDP 数据而消除此漏洞。
我已经安装了更早的 Windows 2000 安全更新版本,是否还需要安装新的安全更新?
不需要。Windows 2000 安全更新未做修订。如果您以前对 Windows 2000 应用了安全更新,则不需要安装本次的修订版本。该漏洞不影响 Windows NT Server 4.0 或 Windows NT Workstation 4.0。
我安装了最初发布的针对 Windows NT Server 4.0 终端服务器版的更新,我是否需要安装此新的更新版本?
是的。Microsoft 在 2004 年 5 月 8 日更新了此安全公告,告知现在已提供了 Windows NT Server 4.0 终端服务器版安全更新的修订版。客户即使安装了以前的更新版本也需要安装此次的修订版。此问题不会影响其他操作系统。如果您以前对其他操作系统应用了此安全更新,则不需要再对那些系统安装此经过修订的更新。
安装平台:
将来的服务包中提供:
该问题的修复将包含在Windows 2000 Service Pack 3中。
需要重新启动:需要
被替代的补丁程序:
Windows 2000补丁程序代替了Microsoft安全性公告 MS01-006中所提供的补丁程序。
验证补丁程序的安装:
Microsoft Windows NT 4.0:
- 为了验证机器上已经安装了这个Security Roll-up Package,请确认机器上已经创建了下面的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB307454\File 1
- 为了验证每个单独文件,请参考知识库文章q307454的文件列表。
Microsoft Windows 2000:
- 为了验证机器上已经安装了这个补丁程序,请确认机器上已经创建了下面的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP3\q307454.
- 为了验证每个单独的文件,请检查下面的注册表键值中所提供的日期/时间和版本信息:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP3\q307454\Filelist
注意事项: 本篇文章发表于www.xker.com(新客网)即使在应用了修补程序后,通过此漏洞而遭受攻击的终端服务器也会将以下信息记录在事件日志中:事件:50 RDP 协议组件 X.224 在协议流中发现一个错误并且中断了客户端连接。来源:Termdd
在修补后的系统中,该错误信息所述情况是不正确的,因为本修补程序将可以防止客户端被断开。
本地化: 该补丁程序的本地化版本可以从“获得其他的安全性补丁程序”中所讨论的地址获得。
获得其它安全补丁程序:
其它安全问题的补丁程序可以从下列地址获得: