发布日期：2009-06-09
更新日期：2009-06-11

受影响系统：

Microsoft Windows 2000SP4

描述：

---

BUGTRAQ  ID: 35206
CVE(CAN) ID: CVE-2009-0228

Microsoft Windows是微软发布的非常流行的操作系统。

Windows的打印后台程序在解析某些打印数据结构时存在缓冲区溢出漏洞。远程攻击者可以首先诱骗用户访问恶意的打印服务器，然后向受影响系统发送特制的RPC请求，导致在枚举期间错误的解析打印服务器的ShareName。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建新帐户。

<*来源：Jun Mao
  
  链接：http://secunia.com/advisories/35365/
        http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA09-160A.html
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=806
*>

建议：

---

临时解决方法：

* 在防火墙阻断TCP 139和445端口。
* 在Windows 2000 SP4上，从NullSessionPipes注册表项删除Print Spooler服务。

      1. 单击“开始”，单击“运行”，键入regedt32，然后单击“确定”。
      2. 在注册表编辑器中，找到以下注册表项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\NullSessionPipes

      3. 编辑该注册表项，并删除SPOOLSS值。
      4. 执行这些操作之后重新启动受影响的系统。

* 禁用Print Spooler服务
    
      1. 单击“开始”，然后单击“控制面板”。或者，指向“设置”，然后单击“控制面板”。
      2. 双击“管理工具”。
      3. 双击“服务”。
      4. 双击“Print Spooler”。
      5. 在“启动类型”列表中，单击“禁用”。
      6. 单击“停止”，然后单击“确定”。
      
    您还可以通过在命令提示符处使用以下命令来停止和禁用Print Spooler服务：
    sc stop Spooler & sc config Spooler start=disabled

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-022）以及相应补丁:
MS09-022：Vulnerabilities in Windows Print Spooler Could Allow Remote Code Execution (961501)
链接：http://www.microsoft.com/technet/security/Bulletin/MS09-022.mspx?pf=true

补丁下载：
http://www.microsoft.com/downloads/details.aspx?familyid=86378753-db24-44c2-a27d-cc0239f40ab8

浏览次数：2732
严重程度：0（网友投票）