[公告]：快去下载windows新补丁!

hs_f

从microsoft 站上看到的,在上次冲击波后又有新的漏洞发现,建议大家早点打补丁,9月10 (昨天)新补丁已发布.

Microsoft site:

New threats to your computer's security like Blaster and Sobig are emerging all the time. Use the links below to install the latest Microsoft® Windows® and Microsoft Office updates and to help ensure that your computer is protected.
Action for Windows users: Read Security Bulletin MS03-039 and install the update immediately
http://www.microsoft.com/security/security_bulletins/ms03-039.asp
Action for Office users: Get the latest updates from Office Online
http://office.microsoft.com/productupdates/
Protect Your PC: Take 3 steps to help ensure your computer is protected
http://www.microsoft.com/security/protect/
http://www.nsfocus.net/index.php?act=alert&do=view&aid=30

绿盟科技紧急通告(Alert2003-04)

Nsfocus安全小组(security@nsfocus.com)
http://www.nsfocus.com

Windows RPC DCOM 接口多个堆缓冲区溢出漏洞

发布日期：2003-09-11

CVE CAN ID：CAN-2003-0528, CAN-2003-0715

受影响的软件及系统：
====================
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003

未受影响的软件及系统：
======================
Microsoft Windows Millennium Edition
Microsoft Windows 98

综述：
======
微软的Windows操作系统的RPC接口又发现存在多个远程安全漏洞，入侵者可以使用这些漏洞取得系统的local system权限。

我们强烈建议用户立刻检查一下您的系统是否受此漏洞影响，并按照我们提供的解决方法予以解决。

分析：
======
Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的 RPC协议，Microsoft在其基础上增加了自己的一些扩展。

Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题，远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。

这些漏洞是由于不正确处理畸形消息所致，漏洞实质上影响的是使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作 ，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

这些漏洞分别是由NSFOCUS/Nessus/eEye独立发现，其中NSFOCUS和Nessus发现的堆溢出是由于对文件名长度缺乏检查导致的(CAN-2003-0528)，eEye发现的堆溢出是由于对报文的长度域缺乏检查导致的(CAN-2003-0715)。

攻击者可以通过 135(UDP/TCP), 137/UDP, 138/UDP, 139/TCP, 445(UDP/TCP), 593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说，攻击者还可能通过80/TCP和443/TCP端口进行攻击。

基于这些漏洞的严重性，我们有理由相信很快会有针对这些漏洞的攻击事件发生，因此我们建议所有使用受影响系统的用户尽快安装微软提供的安全补丁。微软已经在其安全公告MS03-039中提供了安全补丁以修复上述漏洞。

解决方法：
==========
如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用防火墙阻塞至少下列端口：

    135/UDP
    137/UDP
    138/UDP
    445/UDP

    135/TCP
    139/TCP
    445/TCP
    593/TCP

   在受影响主机禁用COM Internet服务和RPC over HTTP。

* 如果因为某些原因确实不能阻塞上述端口，可以考虑暂时禁用DCOM：

    打开"控制面板"-->"管理工具"-->"组件服务"。
    在"控制台根目录"树的"组件服务"-->"计算机"-->"、我的电脑"上单击
    右键，选"属性"。
    选取"默认属性"页，取消"在此计算机上启用分布式 COM"的复选框。
    点击下面的"确定"按钮，并退出"组件服务"。

    注意：禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系
    统服务不能启动，绿盟科技不推荐此种方法。应尽量根据上面的介绍使用防火墙阻
    塞端口来确保系统安全。

厂商状态：
==========
Windows NT Workstation 4.0:
http://www.microsoft.com/downloa ... p;displaylang=zh-cn

Windows NT Server 4.0：
http://www.microsoft.com/downloa ... p;displaylang=zh-cn

Windows NT Server 4.0, Terminal Server Edition:
http://www.microsoft.com/downloa ... 4-A2E9-506D17BB883F

Windows 2000:
http://www.microsoft.com/downloa ... p;displaylang=zh-cn

Windows XP:
http://www.microsoft.com/downloa ... p;displaylang=zh-cn

Windows XP 64 bit Edition:
http://www.microsoft.com/downloa ... 4-9DC3-7053EC206D65

Windows XP 64 bit Edition Version 2003:
http://www.microsoft.com/downloa ... F-9B6D-84106F66059B

Windows Server 2003:
http://www.microsoft.com/downloa ... p;displaylang=zh-cn

Windows Server 2003 64 bit Edition:
http://www.microsoft.com/downloa ... F-9B6D-84106F66059B


对于Windows 2000用户，我们建议您安装完Windows 2000 SP4之后再安装上述补丁:
http://www.microsoft.com/Windows ... ks/sp4/download.asp

对于Windows NT 4.0用户，我们建议您安装完SP6a之后再安装上述补丁:
http://www.microsoft.com/NTServe ... nded/SP6/allsp6.asp

附加信息：
==========
参考链接：
========
http://www.microsoft.com/technet/security/bulletin/MS03-039.asp
http://support.microsoft.com/?kbid=824146
http://www.nsfocus.net/index.php ... =view&adv_id=30
http://www.eeye.com/html/Research/Advisories/AD20030910.html
http://www.cert.org/advisories/CA-2003-23.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题，中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关 于 我 们
===========

中联绿盟信息技术（北京）有限公司成立于2000年4月，是国内专业从事网络安全服务的高科技企业，致力于网络安全技术研究、网络安全产品开发，提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案，并协助建立严密的网络安全制度，提高国内的网络安全水平，为客户提供强有力的安全保障。

中联绿盟信息技术（北京）有限公司成立后，其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪，对重大安全问题更成立专项研究小组进行技术攻关，取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网络安全评估系统、网络/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产品的技术实力和经验，已经推出了具有国际领先水平的安全产品系列。

中联绿盟信息技术（北京）有限公司定位于网络系统安全集成商，提供全面的网络安全整体解决方案、先进的网络安全技术服务和优秀的网络安全产品。

中联绿盟信息技术(北京)有限公司联系方式：

北京总部：
地址：北京市海淀区北洼路4号益泰大厦5层
邮编：100089
电话：010-68438880
传真：010-68437328
email：webadmin@nsfocus.com

上海分公司：
地址：上海市南京西路758号博爱大厦24层A座
邮编：200041
电话：021-62179591/92
传真：021-62176862

广州分公司：
地址：广州市人民中路555号美国银行中心1702
邮编：510180
电话：020-81301251,81301252
传真：020-81303835

(c)版权所有 1999-2003，中联绿盟信息技术（北京）有限公司

hs_f

~