首页 -> 安全研究

安全研究

紧急通告
绿盟科技紧急通告(Alert2007-04)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

微软发布4月份安全公告 修复多个严重安全漏洞

发布日期:2007-04-11


综述:
======
微软刚刚发布了5个安全公告,这些公告描述并修复了8个安全漏洞,其中4个漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制客户端系统。

我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。

分析:
======
微软刚刚发布了5个最新的安全公告:MS07-018到MS07-022。这些安全公告分别描述了8个安全问题,分别是有关各版本的Microsoft Windows和内容管理服务器的漏洞。

1.  MS07-018 Microsoft内容管理服务器中的漏洞可能允许远程执行代码(925939)

    - 受影响软件:
    
    Microsoft Content Management Server 2001 Service Pack 1 — 下载更新(KB924430):
    http://www.microsoft.com/downloads/details.aspx?FamilyId=0AAC923D-A6B8-4023-9977-AEA6782DC1C7    
    
    Microsoft Content Management Server 2002 Service Pack 2 — 下载更新(KB924429):
    http://www.microsoft.com/downloads/details.aspx?FamilyId=41D53931-BCF8-43D9-9D16-592EBFB0AC04
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    内容管理服务器处理特制HTTP请求的方式存在一个远程执行代码漏洞。成功利用
    此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更
    改或删除数据;或者创建拥有完全用户权限的新帐户。
    
    此外,内容管理服务器中还存在跨站点脚本或欺骗漏洞,攻击者可能利用此漏洞
    诱使用户运行恶意脚本。允许攻击者访问受影响系统上只有个别用户才能访问的
    某些数据。攻击者也可能会利用此漏洞来更改Web浏览器缓存和中间代理服务器缓
    存,并将欺骗内容放在这些缓存中。
    
    风险级别和漏洞标识
_____________________________________________________________
|漏洞标识     |漏洞影响 |Microsoft Content|Microsoft Content|
|             |         |Management Server|Management Server|
|             |         |2001 SP1         |2002 SP2         |        
|_____________|_________|_________________|_________________|
|             |         |                 |                 |
|CMS内存破坏  |         |                 |                 |
|漏洞         |远程执行 |      紧急       |     紧急        |
|CVE-2007-0938|代码     |                 |                 |
|_____________|_________|_________________|_________________|
|             |         |                 |                 |
|CMS跨站脚本和|信息泄露 |                 |                 |
|欺骗漏洞     |和欺骗   |      重要       |     重要        |
|CVE-2007-0939|         |                 |                 |
|_____________|_________|_________________|_________________|
|             |         |                 |                 |
|所有漏洞总体 |         |                 |                 |
|风险级别     |         |      紧急       |     紧急        |
|_____________|_________|_________________|_________________|

    - 临时解决方案:

    * 将MCMS站点设置为“是 - 只读”会禁止内容创作以及从站点管理器访问该MCMS服
    务器入口点:
    
    1. 依次单击“开始”、“程序”,选择“Microsoft内容管理服务器”。
    2. 单击“服务器配置应用程序”。
    3. 单击“Web”选项卡,然后选择“配置”。
    4. 在您希望配置的MCMS网站的对话框中,选择“是 - 只读”。
    5. 单击“确定”保存更改。    
                  
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
    "Windows update"功能下载最新补丁。
    
    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=0AAC923D-A6B8-4023-9977-AEA6782DC1C7    
    http://www.microsoft.com/downloads/details.aspx?FamilyId=41D53931-BCF8-43D9-9D16-592EBFB0AC04
        
2.  MS07-019 - 通用即插即用中的漏洞可能允许远程执行代码(931261)

    - 受影响系统:
        
    Microsoft Windows XP Service Pack 2 - 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=ecf69778-91f9-498e-a8bd-35208aa93051
    
    Microsoft Windows XP Professional x64 Edition和Microsoft Windows XP
    Professional x64 Edition Service Pack 2— 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=6ceb5b4f-861f-4f37-b4bc-e8a56382b833
    
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    通用即插即用服务处理特制HTTP请求的方式存在一个远程执行代码漏洞。成功利
    用此漏洞的攻击者可以在本地服务的上下文中运行任意代码。

    风险级别和漏洞标识
_________________________________________________
|漏洞标识     |漏洞影响 |Microsoft Windows XP SP2|
|_____________|_________|________________________|
|             |         |                        |
|UPnP内存破坏 |         |                        |
|漏洞         |远程执行 |      紧急              |
|CVE-2007-1204|代码     |                        |
|_____________|_________|________________________|

    - 临时解决方案:
    
    * 在防火墙处阻止UDP端口1900和TCP端口2869
    * 禁用通用即插即用服务,请按照下列步骤执行操作:
    
    1. 单击“开始”,然后单击“控制面板 ”。或者,指向“设置”,然后单击“控制面板”。
    2. 双击“管理工具”。
    3. 双击“服务”。
    4. 双击“Universal Plug and Play Device Host”。
    5. 在“启动类型”列表中,单击“禁用”。
    6. 单击“停止”,然后单击“确定”。

    您还可以通过在命令提示符处使用以下命令来停止和禁用UPnP服务:

sc stop UPnPHost &sc config UPnPHost start= disabled
        
    * 请在支持高级TCP/IP过滤功能的系统上启用此功能
    * 请通过在受影响的系统上使用IPSec来阻止受影响的端口
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=ecf69778-91f9-498e-a8bd-35208aa93051
    http://www.microsoft.com/downloads/details.aspx?FamilyId=6ceb5b4f-861f-4f37-b4bc-e8a56382b833
    
3.  MS07-020 Microsoft Agent中的漏洞可能允许远程执行代码(932168)

    - 受影响软件:
  
    Microsoft Windows 2000 Service Pack 4 - 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=49dc470b-64e2-47ec-be90-622b407c7751
    
    Microsoft Windows XP Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=e16ededa-6e8c-40d6-a3c0-d61362411acc
    
    Microsoft Windows XP Professional x64 Edition和Microsoft Windows XP
    Professional x64 Edition Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=23909036-898f-41af-a3de-4a899a15d25d
    
    Microsoft Windows Server 2003,Microsoft Windows Server 2003 Service
    Pack 1和Microsoft Windows Server 2003 Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=281f10d2-d754-44cd-8318-9ce94b8d01b4
    
    Microsoft Windows Server 2003 x64 Edition with Service Pack 1和Microsoft
    Windows Server 2003 x64 Edition with Service Pack 2  — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=50469b54-b6ff-46ed-b2bc-3b00b0984e1e
    
    Microsoft Windows Server 2003 for Itanium-based Systems,Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems和Microsoft Windows Server
    2003 with SP2 for Itanium-based Systems — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=883660ca-e976-460f-8e50-c19d1b02b42f
    
    - 漏洞危害: 权限提升
    - 严重程度: 重要
    - 漏洞描述:

    Microsoft Agent处理某些特制URL的方式存在一个远程执行代码漏洞。

    风险级别和漏洞标识
_________________________________________________________
|漏洞标识     |漏洞影响 |Windows|Windows |Windows Server|
|             |         |2000   |XP SP2  |2003,Server  |
|             |         |SP4    |        |2003 SP1和    |      
|             |         |       |        |Server 2003SP2|        
|_____________|_________|_______|________|______________|
|             |         |       |        |              |      
|Microsoft    |         |       |        |              |        
|Agent URL解析|远程执行 | 紧急  | 紧急   |  中等        |
|漏洞         |代码     |       |        |              |    
|CVE-2007-1205|         |       |        |              |      
|_____________|_________|_______|________|______________|  

    - 临时解决方案:
    
    * 阻止在Internet Explorer中运行Agent ActiveX控件。请将以下文本粘贴于记
    事本等文本编辑器中。然后,使用.reg文件扩展名保存文件。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31B-5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F5BE8BD2-7DE6-11D0-91FE-00C04FD701A5}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4BAC124B-78C8-11D1-B9A8-00C04FD97575}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31D-5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D45FD31E-5C6E-11D1-9EC1-00C04FD7081F}]

"Compatibility Flags"=dword:00000400

    您可以通过双击此.reg文件将其应用到各个系统。

    * 注销AgentSvr.exe。在命令行处或者在登录/计算机启动脚本中键入下列命令:

%windir%\msagent\agentsvr.exe /unregserver

    * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX
    控件之前进行提示
    * 将Internet和本地intranet安全区设置为“高”以在运行ActiveX控件和活动脚本
    之前要求提示
    
    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
     http://www.microsoft.com/china/technet/Security/bulletin/ms07-008.mspx
    
4.  MS07-021 - CSRSS中的漏洞可能允许远程执行代码(930178)
  
    - 受影响软件:
    
    Microsoft Windows 2000 Service Pack 4 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=909e3b63-4d11-4fe6-849f-1ce960eb62cd
    
    Microsoft Windows XP Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=69876449-25d1-41b4-b7c8-2b7fb40e59ee
      
    Microsoft Windows XP Professional x64 Edition和Microsoft Windows XP
    Professional x64 Edition Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=91fd8716-c1a2-434e-bed0-df9d01e3d685
    
    Microsoft Windows Server 2003,Microsoft Windows Server 2003 Service
    Pack 1和Microsoft Windows Server 2003 Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=4dac667d-b346-461e-8bb5-6112e946349f
    
    Microsoft Windows Server 2003 for Itanium-based Systems,Microsoft Windows
    Server 2003 with SP1 for Itanium-based Systems和Microsoft Windows Server
    2003 with SP2 for Itanium-based Systems — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=639de6c7-0928-469a-be68-60ea391fa770    

    Microsoft Windows Server 2003 x64 Edition with Service Pack 1和Microsoft
    Windows Server 2003 x64 Edition with Service Pack 2  — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=3487b1f0-a383-41a4-a660-2768962b3bcd
    
    Windows Vista  — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=3487b1f0-a383-41a4-a660-2768962b3bcd
    
    Windows Vista x64 Edition — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?FamilyId=c46f62e1-dddd-4886-a82b-ebec258a495b

    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    Windows客户端/服务器运行时子系统(CSRSS)进程处理错误消息的方式存在远程
    执行代码和拒绝服务漏洞。攻击者可以通过构建特制的应用程序来利用此漏洞,此
    文件可能允许远程执行代码或导致系统重启。此外,如果用户查看特制的网站,
    成功利用此漏洞的攻击者可以完全控制受影响的系统。
    
    Windows 32的CSRSS在启动和停止进程期间处理连接的方式中还存在一个权限提升
    漏洞,允许成功利用此漏洞的攻击者完全控制受影响的系统。

    风险级别和漏洞标识
_______________________________________________________________________________
|漏洞标识     |漏洞影响 |Windows     |Windows|Windows  |Windows Server|Windows |
|             |         |2000        |2000   |XP SP2   |2003,Server  |Vista   |
|             |         |Professional|SP4    |         |2003 SP1和    |        |
|             |         |SP4         |       |         |Server 2003SP2|        |
|_____________|_________|____________|_______|_________|______________|________|
|             |         |            |       |         |              |        |
|MsgBox(CSRSS)|         |            |       |         |              |        |
|远程执行代码 |远程执行 |  紧急      | 紧急  | 紧急    |    紧急      | 紧急   |
|漏洞         |代码     |            |       |         |              |        |
|CVE-2006-6696|         |            |       |         |              |        |
|_____________|_________|____________|_______|_________|______________|________|
|             |         |            |       |         |              |        |
|CSRSS本地权限|         |            |       |         |              |        |
|提升漏洞     |权限提升 |  不受影响  |不受   |不受影响 |  不受影响    | 重要   |
|CVE-2007-1209|         |            |影响   |         |              |        |
|_____________|_________|____________|_______|_________|______________|________|
|             |         |            |       |         |              |        |
|CSRSS拒绝服务|         |            |       |         |              |        |
|漏洞         |拒绝服务 |   低       | 中等  |   低    |    中等      |  低    |
|CVE-2006-6797|         |            |       |         |              |        |
|_____________|_________|____________|_______|_________|______________|________|
|             |         |            |       |         |              |        |
|所有漏洞总体 |         |  紧急      | 紧急  | 紧急    |    紧急      | 紧急   |
|风险级别     |         |            |       |         |              |        |
|_____________|_________|____________|_______|_________|______________|________|
            
    - 临时解决方案:
    
    无
        
    - 厂商补丁:                

     微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
     的"Windows update"功能下载最新补丁。

     您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
     http://www.microsoft.com/china/technet/Security/bulletin/ms07-021.mspx
    
5.  MS07-022 - Windows内核中的漏洞可能允许权限提升(931784)

    - 受影响软件:
    
    Microsoft Windows 2000 Service Pack 4 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=b3599afb-7673-4ef6-a2b1-d77e39fd782c
    
    Microsoft Windows XP Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=eeaee4a7-4858-4b6b-9c6d-a9f1eae19b51

    Microsoft Windows Server 2003,Microsoft Windows Server 2003 Service
    Pack 1和Microsoft Windows Server 2003 Service Pack 2 — 下载更新:
    http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=5e94a29c-7ec0-4459-92eb-d43b524fd6fd
      
    - 漏洞危害: 远程执行代码
    - 严重程度: 紧急
    - 漏洞描述:

    由于映射的内存段上的权限不正确,导致Windows内核中存在一个权限提升漏洞。
    成功利用此漏洞的攻击者可以完全控制受影响的系统。
    
    风险级别和漏洞标识
_________________________________________________________
|漏洞标识     |漏洞影响 |Windows|Windows |Windows Server|
|             |         |2000   |XP SP2  |2003,Server  |
|             |         |SP4    |        |2003 SP1和    |      
|             |         |       |        |Server 2003SP2|        
|_____________|_________|_______|________|______________|
|             |         |       |        |              |      
|内核本地权限 |         |       |        |              |
|提升漏洞     |权限提升 | 重要  |  重要  |    重要      |    
|CVE-2007-1206|         |       |        |              |      
|_____________|_________|_______|________|______________|  

    - 临时解决方案:

    无
    
    - 厂商补丁:                

    微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
    的"Windows update"功能下载最新补丁。

    http://www.microsoft.com/china/technet/Security/bulletin/ms07-022.mspx

附加信息:
==========
1. http://www.microsoft.com/china/technet/security/bulletin/MS07-018.mspx
2. http://www.microsoft.com/china/technet/security/bulletin/MS07-019.mspx
3. http://www.microsoft.com/china/technet/security/bulletin/MS07-020.mspx
4. http://www.microsoft.com/china/technet/security/bulletin/MS07-021.mspx
5. http://www.microsoft.com/china/technet/security/bulletin/MS07-022.mspx
7. http://www.microsoft.com/technet/security/bulletin/ms07-apr.mspx
8. http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=509
9. http://research.eeye.com/html/advisories/published/AD20070410b.html
10. http://research.eeye.com/html/advisories/published/AD20070410a.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2018 绿盟科技