首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2004-06)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布4月安全公告 修复21个安全漏洞

发布日期:2004-04-14


综述:
======
微软刚刚发布了4月份的4个安全公告,这些公告描述并修复了21个安全漏洞,其中包含多个非常严重的远程安全漏洞。

这4个安全公告分别是:

MS04-011 : Security Update for Microsoft Windows (835732)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

MS04-012 : Cumulative Update for Microsoft RPC/DCOM (828741)
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

MS04-013 : Cumulative Security Update for Outlook Express (837009)
http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx

MS04-014 : Vulnerability in the Microsoft Jet Database Engine Could Allow Code Execution (837001)
http://www.microsoft.com/technet/security/bulletin/MS04-014.mspx

攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统,微软已经将MS04-011、MS04-012、MS04-013列为紧急级别,MS04-014列为重要级别,需要Windows用户立刻进行升级或处理。

我们强烈建议使用Windows操作系统的用户立刻安装上述补丁。您可以通过Windows自带的"Windows update"程序进行自动升级,也可以从上述安全公告的页面中找到相应补丁手工进行安装。

分析:
======
微软发布的四个安全公告的详细信息如下:

1.  MS04-011 - Microsoft Windows安全更新 (835732)

    - 受影响系统:
    
    Microsoft Windows NT Workstation 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service
    Pack 3和Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP和Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition 2003版
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition
    Microsoft NetMeeting
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 高
    - 漏洞描述:

    本公告修复了几个新发现的漏洞。下文中记录了这些漏洞。成功利用其中最严重
    漏洞的攻击者可以完全控制受影响的系统,包括安装程序,浏览,更改或删除数
    据,或创建拥有完全权限的新帐号。

    风险级别和漏洞标识
      ______________________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows   |Windows|Windows |Windows |
     |             |         |98,98 SE,|NT 4.0    |2000   |XP      |Server  |
     |             |         |ME       |          |       |        |2003    |
     |_____________|_________|_________|__________|_______|________|________|
     |LSASS漏洞    |远程执行 |无       |无        |高     |高      |低      |
     |CAN-2003-0533|代码     |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |LDAP漏洞     |拒绝服务 |无       |无        |重要   |无      |无      |
     |CAN-2003-0663|         |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |PCT漏洞      |远程执行 |无       |高        |高     |重要    |低      |
     |CAN-2003-0719|代码     |         |          |       |        |        |
     |___ _________|_________|_________|__________|_______|________|________|
     |Winlogon漏洞 |远程执行 |无       |中        |中     |中      |无      |
     |CAN-2003-0806|代码     |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |Metafile漏洞 |远程执行 |无       |高        |高     |高      |无      |
     |CAN-2003-0906|代码     |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |帮助和支持   |远程执行 |无       |无        |无     |高      |高      |
     |中心漏洞     |代码     |         |          |       |        |        |
     |CAN-2003-0907|         |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |工具管理器   |权限提升 |无       |无        |重要   |无      |无      |
     |漏洞         |         |         |          |       |        |        |
     |CAN-2003-0908|         |         |          |       |        |        |
     |___ _________|_________|_________|__________|_______|________|________|
     |Windows管理  |权限提升 |无       |无        |无     |重要    |无      |
     |漏洞         |         |         |          |       |        |        |
     |CAN-2003-0909|         |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |本地描述符   |权限提升 |无       |重要      |重要   |无      |无      |
     |列表漏洞     |         |         |          |       |        |        |  
     |CAN-2003-0910|         |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |H.323漏洞    |远程执行 |不是最高 |无        |重要   |重要    |重要    |
     |CAN-2004-0117|代码     |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |虚拟DOS机漏洞|权限提升 |无       |重要      |重要   |无      |无      |
     |CAN-2004-0118|         |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |协商SSP漏洞  |远程执行 |无       |无        |高     |高      |高      |
     |CAN-2004-0119|代码     |         |          |       |        |        |
     |___ _________|_________|_________|__________|_______|________|________|
     |SSL漏洞      |拒绝服务 |无       |无        |重要   |重要    |重要    |
     |CAN-2004-0120|         |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |ASN.1 "Double|远程执行 |不是最高 |高        |高     |高      |高      |
     |Free"漏洞    |代码     |         |          |       |        |        |  
     |CAN-2004-0123|         |         |          |       |        |        |
     |_____________|_________|_________|__________|_______|________|________|
     |更新所有漏洞 |         |         |          |       |        |        |
     |总体风险级别 |         |不是最高 |高        |高     |高      |高      |
     |_____________|_________|_________|__________|_______|________|________|

    - 临时解决方案:
    
    LSASS漏洞:
    
    * 使用个人防火墙,例如Windows XP和Windows Server 2003捆绑的Internet连接
      防火墙;
    * 在防火墙阻断以下端口:
      UDP 135, 137, 138和445端口,TCP 135, 139, 445和593端口
      在大于1024的端口阻断所有没有请求的流入通讯
      任何其他特别配置的RPC端口
    * 在支持高级TCP/IP过滤特性的系统上启用这个特性;
    * 在受影响系统上使用IPSec阻断受影响的端口。
    
    LDAP漏洞:
    
    * 在防火墙阻断LDAP TCP 389, 636, 3268和3269端口
    
    PCT漏洞:
    
    * 通过注册表禁用PCT支持
    
    Winlogon漏洞:
    
    * 减少拥有帐号修改权限用户的数目

    Metafile漏洞:
    
    * 如果使用Outlook 2002或之后版本的话,或Outlook Express 6 SP1或之后版本
      的话,以纯文本格式读取邮件消息以防范HTML邮件攻击。

    帮助和支持中心漏洞:
    
    * 注销HCP协议
    * 如果在使用Outlook 2000 SP1或更早版本的话,安装Outlook E-mail安全更新
    * 如果使用Outlook 2002或之后版本的话,或Outlook Express 6 SP1或之后版本
      的话,以纯文本格式读取邮件消息以防范HTML邮件攻击。
  
    工具管理器漏洞:
    
    * 在所有受影响系统中使用软件策略在不需要的地方禁用工具管理器
    
    Windows管理漏洞:
    
    * 删除受影响Windows管理接口(WMI)Provider
    
    本地描述符列表漏洞:
    
    * 无
    
    H.323漏洞:
    
    * 在防火墙阻断TCP 1720和TCP 1503的流入和流出通讯
    
    虚拟DOS机漏洞:
    
    * 无
    
    协商SSP漏洞:
    
    * 禁用“集成Windows验证”
    * 禁止协商SSP
  
    SSL漏洞:
    
    * 在防火墙阻断443和636端口
    
    ASN.1 “Double Free” 漏洞:  
  
    * 无
  
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
    
2.  MS04-012 - Microsoft RPC/DCOM累积更新 (828741)

    - 受影响系统:
    
    Microsoft Windows NT Workstation 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service
    Pack 3和Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP和Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition 2003版
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)

    - 漏洞危害: 远程执行代码
    - 严重程度: 高
    - 漏洞描述:

    这个更修修复了几个新发现RPC/DCOM漏洞。下文中记录了这些漏洞。成功利用其
    中最严重漏洞的攻击者可以完全控制受影响的系统,包括安装程序,浏览,更改
    或删除数据,或创建拥有完全权限的新帐号。

    风险级别和漏洞标识
___________________________________________________________________________________________
|漏洞标识     |漏洞影响 |Windows  |Windows NT |Windows  |Windows NT|Windows|Windows|Windows|
|             |         |98,98 SE,|Workstation|NT Server|Server 4.0|2000   |XP     |2003   |
|             |         |ME       |4.0        |4.0      |Terminal  |       |       |       |
|             |         |         |           |         |Server    |       |       |       |
|             |         |         |           |         |Edition   |       |       |       |  
|_____________|_________|_________|___________|_________|__________|_______|_______|_______|
|RPC运行时间库|远程执行 |无       |无         |无       |无        |高     |高     |高     |
|漏洞         |         |         |           |         |          |       |       |       |
|CAN-2004-0119|代码     |         |           |         |          |       |       |       |
|___ _________|_________|_________|___________|_________|__________|_______|_______|_______|
|RPCSS服务漏洞|拒绝服务 |无       |无         |无       |无        |重要   |重要   |重要   |
|CAN-2004-0120|         |         |           |         |          |       |       |       |
|_____________|_________|_________|__________ |________ |__________|_______|_______|_______|
|COM Internet |         |         |           |         |          |       |       |       |
|服务(CIS) – |拒绝服务 |无       |无         |低       |低        |低     |无     |低     |
|RPC over HTTP|         |         |           |         |          |       |       |       |
|漏洞         |         |         |           |         |          |       |       |       |
|CAN-2003-0807|         |         |           |         |          |       |       |       |
|_____________|_________|_________|___________|_________|__________|_______|_______|_______|
|对象标识漏洞 |信息泄漏 |不是最高 |低         |低       |低        |低     |低     |低     |
|CAN-2004-0124|         |         |           |         |          |       |       |       |
|_____________|_________|_________|__________ |________ |__________|_______|_______|_______|
|更新所有漏洞 |         |         |           |         |          |       |       |       |
|总体风险级别 |         |不是最高 |低         |低       |低        |高     |高     |高     |
|_____________|_________|_________|___________|_________|__________|_______|_______|_______|  

    - 临时解决方案:

    RPC运行时间库漏洞:
    
    * 使用个人防火墙,例如Windows XP和Windows Server 2003捆绑的Internet连接
      防火墙
    * 在防火墙阻断以下端口:
      UDP 135, 137, 138和445端口,TCP 135, 139, 445和593端口
      在大于1024的端口阻断所有没有请求的流入通讯
      任何其他特别配置的RPC端口
      如果安装了的话,则阻断COM Internet服务(CIS)或RPC over HTTP端口(在80
      和443端口监听)
    * 在支持高级TCP/IP过滤特性的系统上启用这个特性;
    * 在受影响系统上使用IPSec阻断受影响的端口。    

    RPCSS服务漏洞:
    
    * 在所有受影响系统上禁用DCOM
    
    COM Internet服务(CIS) – RPC over HTTP漏洞:
    
    * 如果在受影响系统中手动启用了CIS和RPC over HTTP的话,禁止向它们转发不
      可信任的资源
    * 如果不需要CIS或RPC over HTTP的话,在受影响系统中禁用这个功能
    
    对象标识漏洞:
    * RPC运行时间库漏洞的临时解决方案也适用于这个漏洞
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
    
3.  MS04-013 - Outlook Express累积安全更新 (837009)

    - 受影响系统:
        
    Microsoft Windows NT Workstation 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service
    Pack 3, Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP and Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition 2003版
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)

    - 受影响组件:

    Microsoft Outlook Express 5.5 SP2
    Microsoft Outlook Express 6
    Microsoft Outlook Express 6 SP1
    Microsoft Outlook Express 6 SP1 (64 bit Edition)
    Windows Server 2003上的Microsoft Outlook Express 6
    Windows Server 2003上的Microsoft Outlook Express 6 (64 bit Edition)

    - 漏洞危害: 远程执行代码
    - 严重程度: 高
    - 漏洞描述:

    这是个包含了所有之前发布的Outlook Express 5.5和Outlook Express 6更新功
    能的累积更新。 此外,它还修复了一个新漏洞。如果成功利用该漏洞的话,攻击
    者可以访问文件并完全控制受影响的系统。即使没有在系统中将Outlook Express
    用作默认的邮件阅读器,攻击也可能发生。
    
    风险级别和漏洞标识
_____________________________________________________________________________________
|漏洞标识     |漏洞影响|Outlook|Outlook|Outlook|Outlook |Windows Server|Windows Server|
|             |        |Express|Express|Express|Express |2003的Outlook |2003的Outlook |
|             |        |5.5 SP2|6      |6 SP1  |6(64 bit|Express 6     |Express 6     |
|             |        |       |       |       |Edition)|              |(64-bit       |
|             |        |       |       |       |        |              |Edition)      |  
|_____________|________|_______|_______|_______|________|______________|______________|
|MHTML URL处理|远程执行|       |       |       |        |              |              |
|漏洞         |代码    |高     |高     |高     |高      |高            |高            |
|CAN-2004-0380|        |       |       |       |        |              |              |
|___ _________|________|_______|_______|_______|________|______________|______________|
    
    - 临时解决方案:
    
    * 加强Internet Explorer中“本地机器”区的安全设置
    * 如果在使用Outlook 2000 SP1或更早版本的话,安装Outlook E-mail安全更新
    * 如果使用Outlook 2002或之后版本的话,或Outlook Express 6 SP1或之后版本
      的话,以纯文本格式读取邮件消息以防范HTML邮件攻击。              

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
    
4.  MS04-014 - Microsoft Jet数据库引擎中的漏洞可能允许代码执行(837001)

    - 受影响系统:
        
    Microsoft Windows NT Workstation 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service
    Pack 3和Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP和Microsoft Windows XP Service Pack 1
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition 2003版
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)
    
    - 受影响组件:

    Microsoft Jet Database Engine 4.0版

    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    在Microsoft Jet数据库引擎(Jet)中存在缓冲区溢出,可能允许远程执行代码。
    成功利用这个漏洞的攻击者可以完全控制受影响的系统,包括安装程序,浏览,
    更改,删除数据,或以创建拥有完全权限的新帐号。

  风险级别和漏洞标识
__________________________________________________________________
|漏洞标识     |漏洞影响 |Windows  |Windows|Windows|Windows|Windows|
|             |         |98,98 SE,|NT 4.0 |2000   |XP     |2003   |
|             |         |ME       |       |       |       |       |
|_____________|_________|_________|_______|_______|_______|_______|
|Jet漏洞      |远程执行 |不是最高 |中     |重要   |重要   |重要   |
|CAN-2004-0197|代码     |         |       |       |       |       |
|___ _________|_________|_________|_______|_______|_______|_______|

    - 临时解决方案:无              

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/bulletin/MS04-014.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
2. http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
3. http://www.microsoft.com/technet/security/bulletin/MS04-013.mspx
4. http://www.microsoft.com/technet/security/bulletin/MS04-014.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技