首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2004-14)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布12月份安全公告 修复多个严重安全漏洞

发布日期:2004-12-15


综述:
======
微软刚刚发布了5个安全公告,这些公告描述并修复了9个安全漏洞,所有漏洞均属于“重要”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。

分析:
======
微软刚刚发布了5个最新的安全公告: MS04-041到MS04-045。这些安全公告分别描述了
9个安全问题,分别是有关各版本的Microsoft Windows的漏洞。

1.  MS04-041 - WordPad中的漏洞可能允许执行代码(885836)

    - 受影响系统:

    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition 2003版
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition
    Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
    Windows Millennium Edition (ME)

    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    WordPad中存在的2个漏洞可能允许在受影响系统上远程执行代码.必须要求用户交
    互才能利用这些漏洞.

    风险级别和漏洞标识
      ____________________________________________________________________________
     |漏洞标识     |漏洞影响 |Windows  |Windows   |Windows|Windows |Windows Server|
     |             |         |98,98 SE,|NT 4.0    |2000   |XP SP1  |2003和Windows |
     |             |         |ME       |          |       |        |XP SP2        |
     |_____________|_________|_________|__________|_______|________|______________|
     |表格转换漏洞 |远程执行 |非紧急   |重要      |重要   |重要    |中            |
     |CAN-2004-0571|代码     |         |          |       |        |              |
     |_____________|_________|_________|__________|_______|________|______________|
     |字体转换漏洞 |远程执行 |非紧急   |重要      |重要   |重要    |中            |
     |CAN-2004-0901|代码     |         |          |       |        |              |
     |_____________|_________|_________|__________|_______|________|______________|

    - 临时解决方案:

    * 不要使用Microsoft WordPad打开Word for Windows 6.0文档
    * 使用Microsoft Word打开Word for Windows 6.0文档
    * 在Windows 2000和Windows XP Service Pack 1上,禁用Word for Windows 6.0
      转换器的处理程序
    * 在Windows XP Service Pack 2和Windows Server 2003上,确认没有启用Word
      for Windows 6.0转换器
    * 删除或重新命名Word for Windows 6.0转换器程序文件

    - 厂商补丁:

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/technet/security/bulletin/MS04-041.mspx

2.  MS04-042 - DHCP中的漏洞可能允许远程执行代码和拒绝服务(885249)

    - 受影响系统:

    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    DHCP Server服务中存在2个漏洞,最严重的一个可能允许在受影响系统上远程执
    行任意代码。DHCP Server服务不是默认安装的,仅有Windows NT 4.0 Server上
    的DHCP Server才受影响。

    风险级别和漏洞标识
          _______________________________
     |漏洞标识     |漏洞影响 |Windows   |
     |             |         |NT 4.0    |
     |             |         |          |
     |_____________|_________|__________|
     |登陆漏洞     |拒绝服务 |中        |
     |CAN-2004-0899|         |          |
     |_____________|_________|__________|
     |DHCP请求漏洞 |远程执行 |重要      |
     |CAN-2004-0900|代码     |          |
     |_____________|_________|__________|

    - 临时解决方案:

    * 禁用DHCP登录
    * 在防火墙中封堵UDP端口67和UDP端口68
    * 将DHCP Service迁移到Windows 2000 Server或更高版本
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

    http://www.microsoft.com/technet/security/bulletin/MS04-042.mspx

3.  MS04-043 - 超级终端中的漏洞可能允许执行代码(873339)

    - 受影响系统:

    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition 2003版
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition

    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    超级终端中存在的漏洞可能允许在受影响系统中远程执行代码。必须要求用户交
    互才能利用这个漏洞。

    风险级别和漏洞标识
       __________________________________________________________
     |漏洞标识     |漏洞影响 |Windows   |Windows|Windows |Windows|
     |             |         |NT 4.0    |2000   |XP      |Server |
     |             |         |          |       |        |2003   |
     |_____________|_________|__________|_______|________|_______|
     |超级终端漏洞 |远程执行 |重要      |重要   |重要    |中     |
     |CAN-2004-0568|代码     |          |       |        |       |
     |_____________|_________|__________|_______|________|_______|
    
    - 临时解决方案:
    
    * 不要打开或保存您收到的不可靠来源的超级终端会话文件(.ht 文件)。
    * 阻塞超级终端会话文件(.ht 文件)防止邮件攻击。
    * 删除HKEY_CLASSES_ROOT\htfile项,禁用超级终端会话文件(.ht 文件)的处
      理程序。
    * 将超级终端客户端从默认的远程登录客户端状态注销。
    * 删除超级终端。
    * 在Windows NT 4.0 Server、Windows 2000 Server和Windows Server 2003中,
      使用“控制面板”中的“添加或删除程序”工具删除超级终端。
    * 删除或重命名超级终端程序文件。  

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:

     http://www.microsoft.com/technet/security/bulletin/MS04-043.mspx

4.  MS04-044 - Windows Kernel和LSASS中的漏洞可能允许权限提升(885835)

    - 受影响系统:

    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Service Pack 3和Microsoft Windows 2000 Service Pack 4
    Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
    Microsoft Windows XP 64-Bit Edition Service Pack 1
    Microsoft Windows XP 64-Bit Edition 2003版
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition

    - 漏洞危害: 权限提升
    - 严重程度: 重要
    - 漏洞描述:

    Windows Kernel和本地安全验证子系统服务(LSASS)中存在的2个漏洞可能允许在
    受影响的系统上权限提升。攻击者必须拥有有效的登陆凭据才能本地登陆利用这
    个漏洞。

  风险级别和漏洞标识
     ____________________________________________________________________
     |漏洞标识     |漏洞影响 |Windows   |Windows|Windows |Windows Server|
     |             |         |NT 4.0    |2000   |XP SP1  |2003和Windows |
     |             |         |          |       |        |XP SP2        |
     |_____________|_________|__________|_______|________|______________|
     |WindowsKernel|权限提升 |重要      |重要   |重要    |中            |
     |漏洞-        |         |          |       |        |              |
     |CAN-2004-0893|         |          |       |        |              |
     |_____________|_________|__________|_______|________|______________|
     |LSASS漏洞    |权限提升 |无        |重要   |重要    |重要          |
     |CAN-2004-0894|         |          |       |        |              |
     |_____________|_________|__________|_______|________|______________|
    
    - 临时解决方案:
    
    无        

    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
     http://www.microsoft.com/technet/security/bulletin/MS04-044.mspx

5.  MS04-045 - WINS中的漏洞可能允许远程执行代码(870763)

     - 受影响系统:
    
    Microsoft Windows NT Server 4.0 Service Pack 6a
    Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
    Microsoft Windows 2000 Server Service Pack 3和Microsoft Windows 2000
    Server Service Pack 4
    Microsoft Windows Server 2003
    Microsoft Windows Server 2003 64-Bit Edition
      
    - 漏洞危害: 远程执行代码
    - 严重程度: 重要
    - 漏洞描述:

    Windows Internet命令服务(WINS)中存在的2个漏洞可能允许在受影响系统上远程
    执行代码。WINS Server服务不是默认安装的。

    风险级别和漏洞标识
      ________________________________________________
     |漏洞标识     |漏洞影响 |Windows |Windows|Windows|
     |             |         |NT 4.0  |2000   |Server |
     |             |         |Server  |Server |2003   |
     |_____________|_________|________|_______|_______|
     |名称验证漏洞 |远程执行 |重要    |重要   |重要   |
     |CAN-2004-0567|代码     |        |       |       |
     |_____________|_________|________|_______|_______|
     |上下文关联   |远程执行 |重要    |重要   |重要   |
     |漏洞-        |代码     |        |       |       |
     |CAN-2004-1080|         |        |       |       |
     |_____________|_________|________|_______|_______|

    - 临时解决方案:

    * 在防火墙阻断TCP 42和UDP 42端口
    * 如果不需要的话删除WINS
    * 在Windows 2000 Server和Windows Server 2003上,使用IPSec通讯确保WINS服
      务器复制伙伴之间通讯的安全.
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    
    http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/MS04-041.mspx
2. http://www.microsoft.com/technet/security/bulletin/MS04-042.mspx
3. http://www.microsoft.com/technet/security/bulletin/MS04-043.mspx
4  http://www.microsoft.com/technet/security/bulletin/MS04-044.mspx
5. http://www.microsoft.com/technet/security/bulletin/MS04-045.mspx
6. http://www.nsfocus.net/index.php?act=alert&do=view&aid=49

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技