Technet Home > Security Bulletins > 2007

Microsoft Security Bulletin MS07-029

Sicherheitsanfälligkeit in Windows DNS-RPC-Schnittstelle kann Remotecodeausführung ermöglichen (935966)

Veröffentlicht: 08. Mai 2007 | Aktualisiert: 06. Jun 2007

Version:1.2

Zusammenfassung

Zielgruppe dieses Dokuments:Benutzer von Microsoft Windows

Auswirkung der Sicherheitsanfälligkeit:Remotecodeausführung

Bewertung des maximalen Schweregrads:Kritisch

Empfehlung:Wir empfehlen Benutzern die sofortige Installation des Updates.

Ersetzung von Sicherheitsupdates:Keine

Vorsichtsmaßnahmen:Keine

Getestete Software und Downloadpfade für das Update:

Betroffene Software:

Microsoft Windows 2000 Server Service Pack 4 – Update herunterladen

Microsoft Windows Server 2003 Service Pack 1 und Microsoft Windows Server 2003 Service Pack 2 – Update herunterladen

Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP2 für Itanium-basierte Systeme – Update herunterladen

Microsoft Windows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2 – Update herunterladen

Nicht betroffene Software:

Microsoft Windows 2000 Professional Service Pack 4

Microsoft Windows XP Service Pack 2

Microsoft Windows XP Professional x64 Edition und Microsoft Windows XP Professional x64 Edition Service Pack 2

Windows Vista

Windows Vista x64 Edition

Die in der Liste aufgeführte Software wurde daraufhin getestet, ob sie betroffen ist. Andere Versionen haben entweder das Ende des Lebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Top of sectionTop of section

Allgemeine Informationen

Kurzzusammenfassung

Kurzzusammenfassung:

Dieses Update behebt eine öffentlich bekannte Sicherheitsanfälligkeit. Die Sicherheitsanfälligkeit wird in diesem Bulletin in einem eigenen Unterabschnitt des Abschnitts „Einzelheiten zu dieser Sicherheitsanfälligkeit“ dokumentiert.

Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Wir empfehlen Benutzern die sofortige Installation des Updates.

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit:

Kennungen der SicherheitsanfälligkeitAuswirkung der SicherheitsanfälligkeitWindows 2000 Server Service Pack 4Windows Server 2003 Service Pack 1 und Windows Server 2003 Service Pack 2Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Windows Server 2003 mit SP2 für Itanium-basierte SystemeWindows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2

Sicherheitsanfälligkeit in der DNS-RPC-Verwaltung – CVE-2007-1748

Remotecodeausführung

Kritisch

Kritisch

Kritisch

Kritisch

Die Bewertungbasiert auf den von der Sicherheitsanfälligkeit betroffenen Systemarten, ihren typischen Bereitstellungsmustern und den möglichen Auswirkungen, die ein Ausnutzen der Sicherheitsanfälligkeit auf sie hat.

Hinweis:Der DNS-Serverdienst ist in bestimmten Serverrollenkonfigurationen u. U. standardmäßig nicht aktiviert. Bei Servernkonfigurationen, in denen der Dienst standardmäßig nicht aktiviert ist, wird der Schweregrad als „Wichtig“ eingestuft. Der Schweregrad „Kritisch“ des Bulletins ist für Domänencontroller mit Server-Funktion, DNS Servern, Microsoft Small Business Servern und Serverrolle vorbehalten, in denen der DNS-Serverdienst standardmäßig aktiviert ist.

Top of sectionTop of section

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Ich verwende eine ältere Version der in diesem Security Bulletin beschriebenen Software. Was soll ich tun? 
Die in diesem Bulletin aufgeführte Software wurde daraufhin getestet, ob die einzelnen Versionen betroffen sind. Andere Versionen haben das Ende ihrer Supportlebenszyklen erreicht. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Benutzer älterer Versionen dieser Software sollten möglichst bald zu Versionen migrieren, für die Support angeboten wird, um sich vor künftigen Sicherheitsanfälligkeiten zu schützen. Weitere Informationen zu den Windows-Produktzyklen finden Sie auf der Website Microsoft Support Lifecycle. Weitere Informationen zur Extended Support-Phase und der Bereitstellung von Sicherheitsupdates für diese Betriebssystemversionen finden Sie auf der Website Microsoft Support Services.

Benutzer, die zusätzlichen Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kundenbetreuer, ihren Technical Account Manager oder den jeweiligen Microsoft-Partner wenden, um Supportangebote in Anspruch nehmen zu können. Kunden, die nicht über einen Alliance-, Premier- oder Authorized-Vertrag verfügen, können sich mit der regionalen Microsoft-Vertriebsniederlassung in Verbindung setzen. Kontaktinformationen finden Sie auf der Website Microsoft Worldwide. Wählen Sie Ihr Land aus, und klicken Sie auf Go. Es wird eine Telefonnummer für Ihr Land angezeigt. Wenn Sie unter der angegebenen Nummer anrufen, fragen Sie bitte nach dem regionalen Vertriebsmanager für Premier Support. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Supportlebenszyklus für Windows.

Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist? 
Die folgende Tabelle enthält die Zusammenfassung zur MBSA-Erkennung für dieses Sicherheitsupdate.

ProduktMBSA 1.2.1MBSA 2.0.1

Microsoft Windows 2000 Server Service Pack 4

Ja

Ja

Microsoft Windows Server 2003 Service Pack 1 und Microsoft Windows Server 2003 Service Pack 2

Ja

Ja

Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP2 für Itanium-basierte Systeme

Nein

Ja

Microsoft Windows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2

Nein

Ja

Weitere Informationen zu MBSA finden Sie auf der MBSA-Website. Weitere Informationen zur Software, die Microsoft Update und MBSA 2.0 derzeit nicht erkennen, finden Sie im Microsoft Knowledge Base-Artikel 895660.

Kann ich mit Systems Management Server (SMS) prüfen, ob dieses Update erforderlich ist?
Die folgende Tabelle enthält eine Zusammenfassung zur SMS-Erkennung für dieses Sicherheitsupdate.

ProduktSMS 2.0SMS 2003

Microsoft Windows 2000 Server Service Pack 4

Ja

Ja

Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1 und Microsoft Windows Server 2003 Service Pack 2

Ja

Ja

Microsoft Windows Server 2003 mit SP1 für Itanium-basierte Systeme und Microsoft Windows Server 2003 mit SP2 für Itanium-basierte Systeme

Nein

Ja

Microsoft Windows Server 2003 x64 Edition und Microsoft Windows Server 2003 x64 Edition Service Pack 2

Nein

Ja

SMS 2.0 und SMS 2003 Software Update Services (SUS) Feature Pack können zur Erkennung MBSA 1.2.1 verwenden und weisen daher dieselbe Einschränkung auf, die weiter oben in diesem Bulletin bezüglich der nicht von MBSA 1.2.1 erkannten Programme aufgeführt ist.

Im Fall von SMS 2.0 kann von SMS zum Auffinden von Sicherheitsupdates das SMS SUS Feature Pack, das das Sicherheitsupdate-Inventurprogramm (SUIT) enthält, verwendet werden. SMS SUIT verwendet das MBSA 1.2.1-Programm für die Erkennung. Weitere Informationen zu SUIT finden Sie auf dieser Microsoft-Website. Weitere Informationen zu den Einschränkungen von SUIT finden Sie im Microsoft Knowledge Base-Artikel 306460. Das SMS SUS Feature Pack umfasst auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates.

Im Fall von SMS 2003 kann von SMS zum Auffinden von unter Microsoft Updateserhältlichen Sicherheitsupdates und Updates, die von Windows Server Update Servicesunterstützt werden, das SMS 2003-Inventurprogramm für Microsoft-Updates (ITMU) verwendet werden. Weitere Informationen zum SMS 2003-Inventurprogramm für Microsoft-Updates finden Sie auf der dieser Microsoft-Website. SMS 2003 kann auch das Microsoft Office-Inventurprogramm zur Erkennung der für Microsoft Office-Anwendungen erforderlichen Updates verwenden.

Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 910723: Zusammenfassungsliste der monatlichen Anleitungen zur Erkennung und Bereitstellung.

Top of sectionTop of section

Einzelheiten zu dieser Sicherheitsanfälligkeit

Sicherheitsanfälligkeit in der DNS-RPC-Verwaltung – CVE-2007-1748:

Im DNS-Serverdienst (Domain Name System) aller unterstützten Versionen von Windows liegt eine Sicherheitsanfälligkeit vor, die eine Remotecodeausführung ermöglichen kann. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann vollständige Kontrolle über das betroffene System erlangen.

Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit in der DNS-RPC-Verwaltung – CVE-2007-1478:

Der DNS-Serverdienst ist in bestimmten Serverrollenkonfigurationen u. U. standardmäßig nicht aktiviert. In Konfigurationen für Domänencontroller mit with DNS Server-Funktionalität, DNS-Server und Microsoft Small Business Server ist der DNS-Serverdienst standardmäßig aktiviert.

Top of sectionTop of section
Problemumgehungen für die Sicherheitsanfälligkeit in der DNS-RPC-Verwaltung – CVE-2007-1748:

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehung behebt nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockiert nur die bekannten Angriffsmethoden. Diese Problemumgehungen wurden insbesondere daraufhin getestet, dass sie alle Versuche blockieren, die Sicherheitsanfälligkeit über den RPC-Datenverkehr und über Ports 139 und 445 auszunutzen. Wenn eine Problemumgehung die vorhandene Funktionalität einschränkt, wird im folgenden Abschnitt darauf hingewiesen.

Deaktivieren Sie die Remoteverwaltung per RPC-Funktion für DNS-Server durch Ändern der Registrierungsschlüsseleinstellung.

Hinweis:Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Registrierungs-Editor (Regedit.exe) im Hilfethema zum Ändern von Schlüsseln und Werten sowie in Regedit.exe in den Hilfethemen zum Hinzufügen und Löschen von Informationen in der Registrierung und zum Bearbeiten der Registrierungsdaten.

Hinweis:Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie diese bearbeiten.

1.

Klicken Sie im Startmenü auf Ausführen, geben Sie Regeditein, und drücken Sie die Eingabetaste.

2.

Navigieren Sie zum folgenden Registrierungsort:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters".

3.

Wählen Sie im Menü Bearbeitenden Befehl Neu, und klicken Sie auf DWORD-Wert.

4.

Geben Sie im Feld, in dem Neuer Wert #1markiert ist, RpcProtocolals Namen für den Wert ein, und drücken Sie die Eingabetaste.

5.

Doppelklicken Sie auf den neu erstellten Wert, und ändern Sie den Wert zu 4.

6.

Starten Sie den DNS-Dienst neu, damit die Änderung wirksam wird.

Verwaltetes Bereitstellungsskript

Verwenden Sie das folgende Beispielregistrierungsskript, um diese Registrierungseinstellung zu aktivieren:

Windows Registrierungs-Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters]
"RpcProtocol"=dword:00000004

Dieses Registrierungsskript kann in einer Datei mit Dateierweiterung .REG gespeichert und anschließend unbeaufsichtigt als Teil eines automatisierten Bereitstellungsskripts mit regedit.exe und der Befehlszeilenoption /s bereitgestellt werden.

Der DNS-Dienst muss anschließend neu gestartet werden, damit die Änderung wirksam wird.

Weitere Hinweise zum Bereitstellen von Registrierungsskripten mithilfe von regedit.exe finden Sie im Microsoft Knowledge Base-Artikel Q82821: Befehlszeilenoptionen für Registrierungsinfoeditor (REGEDIT).

So können Sie die Problemumgehung rückgängig machen: Führen Sie folgende Schritte aus, um die Problemumgehung rückgängig zu machen:

1.

Klicken Sie im Startmenü auf Ausführen, geben Sie Regeditein, und drücken Sie die Eingabetaste.

2.

Navigieren Sie zum folgenden Registrierungsort:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters".

3.

Wählen Sie den Registrierungsschlüssel RpcProtocol.

4.

Klicken Sie mit der rechten Maustaste auf den Schlüssel „RpcProtocol“, und wählen Sie Löschen.

5.

Starten Sie den DNS-Dienst neu, damit die Änderung wirksam wird.

Werte für Registrierungsschlüssel RpcProtocol

Der oben verwendete Wert „4'“ beschränkt die lokalen Prozeduraufrufe der DNS-RPC-Schnittstelle auf „Nur LPC“. Dadurch ist nur lokale Verwaltung mögliche.

Folgende Werte stehen für den Registrierungseintrag RpcProtocol zur Verfügung: 

0x1 – Dieser Wert entspricht einer Einstellung von DNS_RPC_USE_TCPIP #define DNS_RPC_USE_NAMED_PIPE0x2

0x2 – Dieser Wert entspricht einer Einstellung von DNS_RPC_USE_NAMED_PIPE

0x4 – Dieser Wert entspricht einer Einstellung von DNS_RPC_USE_LPC

Deaktivieren Sie die Möglichkeit für Remoteverwaltung über RPC

Durch Definieren eines Werts in der Registrierung können Sie die Verwaltungsschnittstelle des DNS-Servers neukonfigurieren, sodass nur LPC akzeptiert werden. Andere Registrierungswerte ändern oder deaktivieren die RPC-Kommunikation auf andere Weise. Weitere Informationen zum Registrierungsschlüssel RpcProtocol finden Sie im folgenden TechNet Artikel.

Wenn Sie den Wert auf 4 setzen, kann ein Remoteversuch, die Sicherheitsanfälligkeit auszunutzen, verringert werden.

Wird der Wert auf 0 gesetzt, werden alle DNS-RPC-Funktionen deaktiviert. Dadurch ist der Computer davor geschützt, dass die Sicherheitsanfälligkeit remote oder lokal ausgenutzt wird.

Auswirkung der Problemumgehung:Durch Setzen des Registrierungswerts auf 4 wird die Remoteverwaltung und -konfiguration von DNS-Servern über RPC oder WMI deaktiviert. DNS-Verwaltungstools können nicht mehr von einem Remotestandort ausgeführt werden. Die lokale Verwaltung der DNS-Serverkonfiguration und die Remoteverwaltung über Terminaldienste ist jedoch nach wie vor möglich.

Sie können immer noch das MMC-Snap-In zur DNS-Verwaltung, DNSCMD.exe und DNS-WMI-Provider verwenden, wenn diese lokal auf dem Server ausgeführt werden.

Wird der Registrierungswert auf 0 gesetzt, werden alle DNS-RPC-Verwaltungsfunktionen deaktiviert, einschließlich der lokalen Verwaltung und Konfiguration.

Die lokale Verwaltung und Konfiguration von DNS-Servern funktioniert u. U. nicht, wenn der verwaltete Server einen Computernamen mit 15 Zeichen hat und nach seinem Computernamen ausgewählt wird. Um dieses Problem zu vermeiden, verwenden Sie den vollqualifizierten Domänennamen (FQDN) des Computers, der in den DNS-Verwaltungsprogrammen verwaltet wird.

Blockieren Sie Folgendes an der Firewall:

Blockieren Sie die TCP- und UDP-Ports 445 und 139 sowie jeglichen unerwünscht eingehenden Datenverkehr auf Ports > 1024.

Die RPC-Schnittstelle von Windows DNS ist an einen Port > 1024 gebunden. Während der Großteil der RPC-Portbindung in dem Bereich zwischen 1024 und 5000 stattfindet, kann die RPC-Schnittstelle potenziell Bindungen mit höheren, nicht reservierten Portnummern herstellen. Das Blockieren dieser Ports an der Firewall schützt Systeme hinter dieser Firewall vor Angriffen, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu von RPC verwendeten Ports finden Sie auf dieser Website. Informationen zum Blockieren aller unerwünschten RPC-Abfragen und gleichzeitigen Bewahren der DNS-Verwaltungsfunktionen finden Sie im Microsoft Knowledge Base-Artikel 555381.

Hinweis:Ein Angreifer, der die Sicherheitsanfälligkeit über Ports 139 oder 445 ausnutzen möchte, muss sich mit einem gültigen Benutzernamen und Kennwort authentifizieren.

Auswirkung der Problemumgehung:Die Remoteverwaltung der DNS-Serverfunktionalität mit RPC wird deaktiviert. DNS-Verwaltungstools können nicht mehr von einem Remotestandort ausgeführt werden. Die lokale Verwaltung der DNS-Serverkonfiguration und die Remoteverwaltung über Terminaldienste ist jedoch nach wie vor möglich.

Dies umfasst das MMC-Snap-In zur DNS-Verwaltung, DNSCMD.exe, DNS-WMI-Provider. Zusätzliche Verwaltungs- und Steuerungsfunktionen für Anwendungen oder Komponenten, die die betroffenen Ports verwenden, können verloren gehen.

Durch Blockieren von Port 445 werden Computer daran gehindert, über SMB eine Verbindung zum Server herzustellen. Außerdem werden Server daran gehindert, auf freigegebenen Netzwerkordner zuzugreifen. Verwaltungstools, deren Konnektivität von SMB abhängt, können keine Verbindung zum Server herstellen.

Aktivieren Sie erweiterte TCP/IP-Filter auf Systemen.

Sie können erweiterte TCP/IP-Filter aktivieren, um den gesamten unerwünschten eingehenden Datenverkehr zu blockieren. Weitere Informationen zur Konfiguration von TCP/IP-Filtern finden Sie im Microsoft Knowledge Base-Artikel 309798.

Blockieren Sie die TCP- und UDP-Ports 445 und 139 sowie betroffene Ports > 1024 auf betroffenen Systemen mithilfe von IPSec.

Mithilfe von IPSec (Internet Protocol Security) können Sie die Netzwerkkommunikation sicherer gestalten. Ausführliche Informationen zu IPSec und dem Anwenden von Filtern finden Sie im Microsoft Knowledge Base-Artikel 313190und im Microsoft Knowledge Base-Artikel 813878.

Hinweis:Ein Angreifer, der die Sicherheitsanfälligkeit über Ports 139 oder 445 ausnutzen möchte, muss sich mit einem gültigen Benutzernamen und Kennwort authentifizieren.

Auswirkung der Problemumgehung:Die Remoteverwaltung der DNS-Serverfunktionalität mit RPC wird deaktiviert. DNS-Verwaltungstools können nicht mehr von einem Remotestandort ausgeführt werden. Die lokale Verwaltung der DNS-Serverkonfiguration und die Remoteverwaltung über Terminaldienste ist jedoch nach wie vor möglich.

Dies umfasst das MMC-Snap-In zur DNS-Verwaltung, DNSCMD.exe und DNS-WMI-Provider. Zusätzliche Verwaltungs- und Steuerungsfunktionen für Anwendungen oder Komponenten, die die betroffenen Ports verwenden, können verloren gehen.

Durch Blockieren von Port 445 werden Computer daran gehindert, über SMB eine Verbindung zum Server herstellen. Ebenso kann der Server nicht auf Ordner zugreifen, die für das Netzwerk freigegeben sind. Verwaltungstools, deren Konnektivität von SMB abhängt, können keine Verbindung zum Server herstellen.

Top of sectionTop of section
Top of sectionTop of section

Häufig gestellte Fragen zur Sicherheitsanfälligkeit in der DNS-RPC-Verwaltung – CVE-2077-1748:

Worin genau besteht diese Sicherheitsanfälligkeit?
Diese Sicherheitsanfälligkeit kann eine Remotecodeausführung ermöglichen. Nutzt ein Angreifer diese Sicherheitsanfälligkeit erfolgreich aus, kann er von einem Remotestandort aus die vollständige Kontrolle über ein betroffenes System erlangen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
Ein stapelbasierter Pufferüberlauf existiert in der RPC-Verwaltungsschnittstelle im Windows DNS-Serverdienst.

Was ist RPC (Remote Procedure Call)?  
RPC (Remote Procedure Call oder Remoteprozeduraufruf) ist ein Protokoll, das ein Programm zum Anfordern eines Dienstes von einem Programm verwenden kann, das sich auf einem anderen Computer in einem Netzwerk befindet. RPC unterstützt die Interoperabilität, da das Programm, das RPC verwendet, die Netzwerkprotokolle nicht kennen muss, die die Kommunikation unterstützen. In RPC stellt das anfordernde Programm den Client und das den Dienst anbietende Programm den Server dar.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Wenn ein Angreifer diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann er vollständige Kontrolle über das betroffene System erlangen.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Auf Servern, auf denen der DNS-Serverdienst auf allen unterstützten Serverversionen von Windows ausgeführt wird, könnte ein anonymer Angreifer versuchen, die Sicherheitsanfälligkeit auszunutzen, indem er ein speziell gestaltetes RPC-Paket an ein betroffenes System sendet. Die Sicherheitsanfälligkeit kann einem Angreifer ermöglichen, Code im Sicherheitskontext des DNS-Serverdienstes auszuführen, das standardmäßig als lokales SYSTEM ausgeführt wird.

Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?
DNS-Server, Domänencontroller und Small Business Server sind hauptsächlich gefährdet. Diese Systeme könnten stärker gefährdet sein, wenn sie in nicht vertrauenswürdigen Netzwerken platziert werden, wo unerwünschte PRC-Verwaltungsdaten Datenverkehr zugelassen haben. Bewährte Methoden für die raten dringend davon ab, diese Erlaubnis zu erteilen.

Kann diese Sicherheitsanfälligkeit über das Internet ausgenutzt werden?
Ja. Ein Angreifer könnte diese Sicherheitsanfälligkeit über das Internet ausnutzen. Mit Hilfe bewährter Methoden für die Firewall und standardisierten Firewallkonfigurationen können Sie sich vor Remoteangriffen aus dem Internet schützen.

Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem die Art der Längenüberprüfung einer Nachricht durch RPC vor der Übergabe an den zugewiesenen Puffer geändert wird.

War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?
Ja. Diese Sicherheitsanfälligkeit wurde veröffentlicht. Ihr wurde die Nummer für allgemeine Sicherheitsanfälligkeit CVE-2007-1748zugewiesen.

Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?
Ja. Zum Zeitpunkt der Veröffentlichung dieses Security Bulletins hatte Microsoft Informationen erhalten, dass diese Sicherheitsanfälligkeit ausgenutzt wurde.

Wird mit diesem Sicherheitsupdate eine schadensbegrenzende Maßnahme behoben oder zurückgenommen, die in der Microsoft-Sicherheitsempfehlung (935964) aufgeführt ist?
Nein. Dieses Sicherheitsupdate behebt bzw. entfernt keine schadensbegrenzenden Maßnahmen, die in der Microsoft-Sicherheitsempfehlung (935964)empfohlen werden. Wenn die schadensbegrenzenden Maßnahmen wie in der Empfehlung empfohlen bereitgestellt wurden, können Benutzer diese nach erfolgreicher Installation des Sicherheitsupdates manuell entfernen.

Werden die Benutzer durch die Installation dieses Sicherheitsupdates vor dem veröffentlichten Code geschützt, mit dem diese Sicherheitsanfälligkeit ausgenutzt wird?
Ja. Durch dieses Sicherheitsupdate wird die derzeit ausgenutzte Sicherheitsanfälligkeit behoben. Der beseitigten Sicherheitsanfälligkeit wurde die Nummer für allgemeine Sicherheitsfälligkeit  CVE-2007-1748zugewiesen.

Top of sectionTop of section
Top of sectionTop of section

Informationen zum Sicherheitsupdate

Betroffene Software:

Um Informationen zum jeweiligen Sicherheitsupdate für Ihre betroffene Software zu erhalten, klicken Sie auf den entsprechenden Link:

Windows 2000 (alle Versionen)

Voraussetzungen
Unter Windows 2000 ist für dieses Sicherheitsupdate Service Pack 4 (SP4) erforderlich. Für Small Business Server 2000 erfordert dieses Sicherheitsupdate Small Business Server 2000 Service Pack 1a (SP1a) oder Small Business Server 2000 mit Windows 2000 Server Service Pack 4 (SP4). Dieses Sicherheitsupdate erfordert auch, dass das System ein DNS-Server ist oder die DNS-Serverfunktionalität verwendet.

Die oben aufgeführten Softwareversionen wurden daraufhin getestet, ob sie betroffen sind. Für andere Versionen ist entweder keine weitere Unterstützung für Sicherheitsupdates erhältlich oder sie sind möglicherweise nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihr Produkt und Ihre Version zu ermitteln.

Weitere Informationen zu den Bezugsquellen für aktuelle Service Packs finden Sie im Microsoft Knowledge Base-Artikel 260910.

Aufnahme in zukünftige Service Packs
Für dieses Betriebssystem sind keine Service Packs mehr geplant. Das Update für dieses Problem wird möglicherweise in zukünftigen Update-Rollups enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation.

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmten Anzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quietoder /passiveverwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/overwriteoem

Überschreibt OEM-Dateien ohne Bestätigung.

/nobackup

Erstellt keine Sicherungskopien der Dateien für die Deinstallation.

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log:path

Speichert die Installationsprotokolldateien im angegebenen Pfad.

/integrate:path

Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.

/extract[:path]

Extrahiert Dateien, ohne das Setup-Programm zu starten.

/ER

Aktiviert erweiterte Fehlerberichterstattung.

/verbose

Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis:Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch die Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet Website. Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 4, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windows2000-kb935966-x86-enu /quiet

HinweisDurch die Verwendung der Installationsoption /quietwerden alle Meldungen unterdrückt. Dies gilt auch für Fehlermeldungen. Bei Verwendung der Installationsoption /quietsollten Administratoren anhand einer der empfohlenen Methoden überprüfen, ob die Installation erfolgreich war. Administratoren sollten bei Verwendung dieser Option außerdem in der Protokolldatei KB935966.log prüfen, ob Fehlermeldungen vorliegen.

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows 2000 Service Pack 4, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

Windows2000-kb935966-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website. Dieses Update ist auch über die Microsoft Update-Websiteverfügbar.

Neustartanforderung

Für dieses Update ist ein Neustart erforderlich.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Sicherheitsupdates die Option „Software“ in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB935966$\Spuninst.

Unterstützte Installationsoptionen für Spuninst.exe
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation.

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmten Anzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quietoder /passiveverwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log:path

Speichert die Installationsprotokolldateien im angegebenen Pfad.

Dateiinformationen

Die englische Version dieses Sicherheitsupdates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzonedes Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Windows 2000 Service Pack 4 und Small Business Server 2000:

DateinameVersionDatumUhrzeitGrößeOrdner

dns.exe

5.0.2195.7135

13-Apr-2007

15:18

327.952

.

Überprüfen der Updateinstallation

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie weiter oben in diesem Bulletin im Abschnitt „Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate“ unter „Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?“

Überprüfung der Dateiversion

Hinweis:Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.

Klicken Sie auf Startund dann auf Suchen.

2.

Klicken Sie im Bereich Suchergebnisseunter Such-Assistentauf Alle Dateien und Ordner.

3.

Geben Sie im Feld Gesamter oder Teil des Dateinamensden Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.

4.

Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften.

Hinweis:Je nach Betriebssystemversion oder installiertem Programm werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.

5.

Ermitteln Sie mithilfe der Registerkarte Versiondie Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird.

Hinweis:Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB935966\Filelist

Hinweis:Dieser Registrierungsschlüssel enthält möglicherweise keine vollständige Liste der installierten Dateien. Zudem wird der Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM das Sicherheitsupdate 935966 in die Windows-Installationsquelldateien integriert oder einbindet.

Top of sectionTop of section

Windows Server 2003 (alle Versionen)

Voraussetzungen
Dieses Sicherheitsupdate erfordert Windows Server 2003 Service Pack 1, Windows Server 2003 Service Pack 2, Windows Server 2003 für Itanium-basierte Systeme, Windows Server 2003 mit SP1 für Itanium-basierte Systeme, Windows Server 2003 mit SP2 für Itanium-basierte Systeme, Windows Server 2003 x64 Edition oder Windows Server 2003 x64 Edition Service Pack 2. Dieses Sicherheitsupdate erfordert auch, dass das System ein DNS-Server ist oder die DNS-Serverfunktionalität verwendet.

Aufnahme in zukünftige Service Packs
Das Update für dieses Problem wird in einem zukünftigen Service Pack oder Update-Rollup enthalten sein.

Informationen zur Installation

Dieses Sicherheitsupdate unterstützt folgende Installationsoptionen.

Unterstützte Installationsoptionen für das Sicherheitsupdate
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation.

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmten Anzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quietoder /passiveverwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/overwriteoem

Überschreibt OEM-Dateien ohne Bestätigung.

/nobackup

Erstellt keine Sicherungskopien der Dateien für die Deinstallation.

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log: Pfad

Speichert die Installationsprotokolldateien im angegebenen Pfad.

/integrate:path

Integriert das Update in die Windows-Quelldateien. Diese Dateien befinden sich im Pfad, der in der Installationsoption angegeben ist.

/extract[:path]

Extrahiert Dateien, ohne das Setup-Programm zu starten.

/ER

Aktiviert erweiterte Fehlerberichterstattung.

/verbose

Aktiviert eine ausführliche Protokollierung. Erstellt während der Installation die Datei %Windir%\CabBuild.log. In diesem Protokoll werden die kopierten Dateien aufgeführt. Die Verwendung dieser Option kann den Installationsvorgang entscheidend verlangsamen.

Hinweis:Diese Optionen können in einem Befehl kombiniert werden. Aus Gründen der Abwärtskompatibilität unterstützt das Sicherheitsupdate auch zahlreiche Installationsoptionen, die von der früheren Version des Installationsprogramms verwendet wurden. Weitere Informationen zu den möglichen Installationsoptionen finden Sie im Microsoft Knowledge Base-Artikel 262841. Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet Website.

Informationen zur Bereitstellung

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Benutzereingriff zu installieren:

Windowsserver2003-kb935966-x86-enu /quiet

HinweisDurch die Verwendung der Installationsoption /quietwerden alle Meldungen unterdrückt. Dies gilt auch für Fehlermeldungen. Bei Verwendung der Installationsoption /quietsollten Administratoren anhand einer der empfohlenen Methoden überprüfen, ob die Installation erfolgreich war. Administratoren sollten bei Verwendung dieser Option außerdem in der Protokolldatei KB935966.log prüfen, ob Fehlermeldungen vorliegen.

Verwenden Sie den folgenden Befehl an einer Eingabeaufforderung für Windows Server 2003, um das Sicherheitsupdate ohne Erzwingen eines Neustarts des Systems zu installieren:

Windowsserver2003-kb935966-x86-enu /norestart

Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mit Software Update Services finden Sie auf der Website zu Software Update Services. Weitere Informationen zum Bereitstellen dieses Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website. Dieses Update ist auch über die Microsoft Update-Websiteverfügbar.

Neustartanforderung

Sie müssen das System neu starten, nachdem Sie dieses Sicherheitsupdate installiert haben.

Dieses Sicherheitsupdate unterstützt kein HotPatching. Weitere Informationen zum HotPatching finden Sie im Microsoft Knowledge Base-Artikel 897341.

Hinweis:Nicht alle Sicherheitsupdates unterstützen HotPatching. Einige Sicherheitsupdates, die HotPatching unterstützen, können einen Neustart des Servers erfordern, nachdem Sie das Sicherheitsupdate installiert haben. HotPatching wird nur unterstützt, wenn es sich bei den Dateien, die durch das Sicherheitsupdate ersetzt werden, um GDR-Dateien (General Distribution Release) handelt. HotPatching wird nicht unterstützt, wenn Sie zuvor zur Aktualisierung einer der im Sicherheitsupdate enthaltenen Dateien einen Hotfix verwendet haben. Weitere Informationen zu diesem Verhalten finden Sie im Microsoft Knowledge Base-Artikel 897341und im Microsoft Knowledge Base-Artikel 824994.

Informationen zur Deinstallation

Verwenden Sie zum Entfernen dieses Updates die Option „Software“ in der Systemsteuerung.

Systemadministratoren können das Dienstprogramm Spuninst.exe zum Entfernen dieses Sicherheitsupdates verwenden. Das Dienstprogramm Spuninst.exe befindet sich im Ordner %Windir%\$NTUninstallKB935966$\Spuninst.

Unterstützte Installationsoptionen für Spuninst.exe
OptionBeschreibung

/help

Zeigt die Befehlszeilenoptionen an.

Installationsmodi 

/passive

Modus für unbeaufsichtigte Installation. Es ist kein Benutzereingriff erforderlich, jedoch wird der Installationsstatus angezeigt. Sollte im Anschluss an die Installation ein Neustart erforderlich sein, wird der Benutzer in einem Dialogfeld darauf hingewiesen, dass der Computer in 30 Sekunden neu gestartet wird.

/quiet

Stiller Modus. Dies entspricht dem unbeaufsichtigten Modus, jedoch werden keine Status- oder Fehlermeldungen angezeigt.

Neustartoptionen 

/norestart

Kein Neustart nach Abschluss der Installation.

/forcerestart

Startet den Computer nach der Installation neu und erzwingt beim Herunterfahren das Schließen aller Anwendungen, ohne geöffnete Dateien zuvor zu speichern.

/warnrestart[:x]

Zeigt ein Dialogfeld an, in dem der Benutzer gewarnt wird, dass der Computer in einer bestimmten Anzahl von Sekunden neu gestartet wird. (Die Standardeinstellung lautet 30 Sekunden.) Sollte in Verbindung mit den Installationsoptionen /quietoder /passiveverwendet werden.

/promptrestart

Zeigt ein Dialogfeld an, in dem der lokale Benutzer zur Bestätigung des Neustarts aufgefordert wird.

Besondere Optionen 

/forceappsclose

Erzwingt das Schließen anderer Programme beim Herunterfahren des Computers.

/log:path

Speichert die Installationsprotokolldateien im angegebenen Pfad.

Dateiinformationen

Die englische Version dieses Sicherheitsupdates besitzt die Dateiattribute, die in der folgenden Tabelle aufgelistet werden. Die Datums- und Zeitangaben für diese Dateien werden in UTC (Universal Time Coordinated) aufgeführt. Wenn Sie die Dateiinformationen anzeigen, werden diese in lokale Zeitangaben umgewandelt. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln, verwenden Sie die Registerkarte Zeitzonedes Tools „Datum und Uhrzeit“ in der Systemsteuerung.

Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Datacenter Edition, Windows Server 2003 Enterprise Edition, Windows Small Business Server 2003, Windows Server 2003 Web Edition mit SP1, Windows Server 2003 Standard Edition mit SP1, Windows Server 2003 Enterprise Edition mit SP1, Windows Server 2003 Datacenter Edition mit SP1, Windows Small Business Server 2003 mit SP1, Windows Server 2003 R2 Web Edition, Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2003 R2 Enterprise Edition, Windows Small Business Server 2003 R2, Windows Server 2003 Web Edition mit SP2, Windows Server 2003 Standard Edition mit SP2, Windows Server 2003 Enterprise Edition mit SP2, Windows Server 2003 Datacenter Edition mit SP2, Windows Server 2003 R2 Web Edition mit SP2, Windows Server 2003 R2 Standard Edition mit SP2, Windows Server 2003 R2 Datacenter Edition mit SP2, Windows Server 2003 R2 Enterprise Edition mit SP2 und Windows Small Business Server 2003 R2 mit SP2:

DateinameVersionDatumUhrzeitGrößeOrdner

dns.exe

5.2.3790.2915

12-Apr-2007

12:57

442.880

SP1GDR

dns.exe

5.2.3790.2915

12-Apr-2007

12:56

443.392

SP1QFE

w03a2409.dll

5.2.3790.2925

26-Apr-2007

10:54

27.648

SP1QFE

dns.exe

5.2.3790.4059

12-Apr-2007

13:40

443.392

SP2GDR

dns.exe

5.2.3790.4059

12-Apr-2007

13:27

443.392

SP2QFE

w03a2409.dll

5.2.3790.4069

26-Apr-2007

18:02

453.632

SP2QFE

Windows Server 2003 Enterprise Edition für Itanium-basierte Systeme, Windows Server 2003 Datacenter Edition für Itanium-basierte Systeme, Windows Server 2003 Enterprise Edition mit SP1 für Itanium-basierte Systeme, Windows Server 2003 Datacenter Edition mit SP1 für Itanium-basierte Systeme, Windows Server 2003 Enterprise Edition mit SP2 für Itanium-basierte Systeme und Windows Server 2003 Datacenter Edition mit SP2 für Itanium-basierte Systeme:

DateinameVersionDatumUhrzeitGrößeCPUOrdner

dns.exe

5.2.3790.2915

27-Apr-2007

13:13

1.122.816

IA-64

SP1GDR

wdns.exe

5.2.3790.2915

27-Apr-2007

13:13

442.880

X86

SP1GDR\wow

dns.exe

5.2.3790.2915

27-Apr-2007

13:13

1.124.864

IA-64

SP1QFE

w03a2409.dll

5.2.3790.2925

27-Apr-2007

13:13

26.624

IA-64

SP1QFE

wdns.exe

5.2.3790.2915

27-Apr-2007

13:13

443.392

X86

SP1QFE\wow

ww03a2409.dll

5.2.3790.2925

27-Apr-2007

13:13

27.648

X86

SP1QFE\wow

dns.exe

5.2.3790.4059

27-Apr-2007

13:17

1.124.864

IA-64

SP2GDR

dns.exe

5.2.3790.4059

27-Apr-2007

13:12

1.125.376

IA-64

SP2QFE

w03a2409.dll

5.2.3790.4069

27-Apr-2007

13:12

452.608

IA-64

SP2QFE

ww03a2409.dll

5.2.3790.4069

27-Apr-2007

13:12

453.632

X86

SP2QFE\wow

Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition, Windows Server 2003 Datacenter x64 Edition, Windows Server 2003 R2 Standard x64 Edition, Windows Server 2003 R2 Enterprise x64 Edition, Windows Server 2003 R2 Datacenter x64 Edition, Windows Server 2003 mit SP2 Standard x64 Edition, Windows Server 2003 mit SP2 Enterprise x64 Edition, Windows Server 2003 mit SP2 Datacenter x64 Edition, Windows Server 2003 R2 Standard x64 Edition mit SP2, Windows Server 2003 R2 Enterprise x64 Edition mit SP2 und Windows Server 2003 R2 Datacenter x64 Edition mit SP2:

DateinameVersionDatumUhrzeitGrößeCPUOrdner

dns.exe

5.2.3790.2915

27-Apr-2007

13:11

758.272

X64

SP1GDR

wdns.exe

5.2.3790.2915

27-Apr-2007

13:11

442.880

X86

SP1GDR\wow

dns.exe

5.2.3790.2915

27-Apr-2007

13:12

760.832

X64

SP1QFE

w03a2409.dll

5.2.3790.2925

27-Apr-2007

13:12

28.160

X64

SP1QFE

wdns.exe

5.2.3790.2915

27-Apr-2007

13:12

443.392

X86

SP1QFE\wow

ww03a2409.dll

5.2.3790.2925

27-Apr-2007

13:12

27.648

X86

SP1QFE\wow

dns.exe

5.2.3790.4069

27-Apr-2007

13:16

759.808

X64

SP2GDR

dns.exe

5.2.3790.4069

27-Apr-2007

13:11

760.832

X64

SP2QFE

w03a2409.dll

5.2.3790.4069

27-Apr-2007

13:11

454.144

X64

SP2QFE

ww03a2409.dll

5.2.3790.4069

27-Apr-2007

13:11

453.632

X86

SP2QFE\wow

Hinweise:Wenn Sie diese Sicherheitsupdates installieren, prüft das Installationsprogramm, ob Dateien, die auf dem Computer aktualisiert werden, zuvor durch einen Microsoft-Hotfix aktualisiert wurden.

Wenn Sie kürzlich einen Hotfix installiert haben, um eine dieser Dateien zu aktualisieren, dann kopiert das Installationsprogramm die RTMQFE-, SP1QFE bzw. SP2QFE-Dateien auf Ihr System. Andernfalls kopiert das Installationsprogramm die Dateien RTMGDR, SP1GDR oder SP2GDR auf Ihr System. Möglicherweise enthalten die Sicherheitsupdates nicht alle Varianten dieser Dateien. Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel  824994.

Weitere Informationen hierzu finden Sie im Microsoft Knowledge Base-Artikel  824994.

Weitere Informationen zum Installationsprogramm Update.exe finden Sie auf der Microsoft TechNet Website.

Weitere Informationen zu der in diesem Bulletin verwendeten Terminologie, wie z. B. Hotfix, finden Sie im Microsoft Knowledge Base-Artikel 824684.

Überprüfen der Updateinstallation

Microsoft Baseline Security Analyzer

Um zu überprüfen, ob das Sicherheitsupdate auf einem betroffenen System installiert wurde, können Sie möglicherweise das Tool MBSA (Microsoft Baseline Security Analyzer) verwenden. Weitere Informationen finden Sie weiter oben in diesem Bulletin im Abschnitt „Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate“ unter „Kann ich mit dem Microsoft Baseline Security Analyzer (MBSA) überprüfen, ob dieses Update erforderlich ist?“

Überprüfung der Dateiversion

Hinweis:Da mehrere Versionen von Microsoft Windows verfügbar sind, können die auf Ihrem Computer erforderlichen Schritte von den angegebenen Schritten abweichen. Lesen Sie in diesem Fall die Produktdokumentation, um die erforderlichen Schritte durchzuführen.

1.

Klicken Sie auf Startund dann auf Suchen.

2.

Klicken Sie im Bereich Suchergebnisseunter Such-Assistentauf Alle Dateien und Ordner.

3.

Geben Sie im Feld Gesamter oder Teil des Dateinamensden Dateinamen aus der entsprechenden Dateiinformationstabelle an, und klicken Sie dann auf Suchen.

4.

Klicken Sie in der Liste der Dateien mit der rechten Maustaste auf einen Dateinamen in der entsprechenden Dateiinformationstabelle, und klicken Sie dann auf Eigenschaften.

Hinweis:Je nach Betriebssystemversion oder installiertem Programm werden einige der Dateien, die in der Tabelle mit den Dateiinformationen aufgeführt sind, möglicherweise nicht installiert.

5.

Ermitteln Sie mithilfe der Registerkarte Versiondie Version der Datei, die auf Ihrem Computer installiert ist, indem Sie diese mit der Version vergleichen, die in der entsprechenden Dateiinformationstabelle aufgeführt wird.

Hinweis:Neben der Dateiversion ändern sich bei der Installation möglicherweise auch andere Attribute. Andere Dateiattribute anhand der Daten in der Dateiinformationstabelle zu vergleichen, ist keine empfohlene Methode, um zu überprüfen, ob das Update installiert wurde. In bestimmten Fällen werden Dateien möglicherweise während der Installation umbenannt. Wenn Datei- oder Versionsinformationen nicht vorhanden sind, wählen Sie eine andere Methode, um die Updateinstallation zu überprüfen.

Überprüfung des Registrierungsschlüssels

Möglicherweise können Sie die Dateien, die von diesem Sicherheitsupdate installiert wurden, auch durch die Prüfung des folgenden Registrierungsschlüssels überprüfen.

Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Windows Small Business Server 2003, Windows Server 2003 Enterprise Edition für Itanium-basierte Systeme, Windows Server 2003 Datacenter Edition für Itanium-basierte Systeme, Windows Server 2003 R2 Web Edition, Windows Server 2003 R2 Standard Edition, Windows Server 2003 R2 Datacenter Edition, Windows Server 2003 R2 Enterprise Edition und Windows Small Business Server 2003 R2:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB935966\Filelist

Windows Server 2003 Web Edition, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition, Windows Small Business Server 2003, Windows Server 2003 Web Edition mit SP1, Windows Server 2003 Standard Edition mit SP1, Windows Server 2003 Enterprise Edition mit SP1, Windows Server 2003 Datacenter Edition mit SP1, Windows Small Business Server 2003 mit SP1, Windows Server 2003 Enterprise Edition für Itanium-basierte Systeme, Windows Server 2003 Datacenter Edition für Itanium-basierte Systeme, Windows Server 2003 Enterprise Edition mit SP1 für Itanium-basierte Systeme, Windows Server 2003 Datacenter Edition mit SP1 für Itanium-basierte Systeme; Windows Server 2003 Standard x64 Edition, Windows Server 2003 Enterprise x64 Edition, Windows Server 2003 Datacenter x64 Edition, Windows Server 2003 Web Edition mit SP2, Windows Server 2003 Standard Edition mit SP2, Windows Server 2003 Enterprise Edition mit SP2, Windows Server 2003 Datacenter Edition mit SP2 und Windows Small Business Server 2003 R2 mit SP2:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB935966\Filelist

Hinweis:Dieser Registrierungsschlüssel enthält möglicherweise keine vollständige Liste der installierten Dateien. Zudem wird der Registrierungsschlüssel möglicherweise nicht einwandfrei erstellt, wenn ein Administrator oder OEM das Sicherheitsupdate 935966 in die Windows-Installationsquelldateien integriert oder einbindet.

Top of sectionTop of section
Top of sectionTop of section

Danksagungen

Microsoft danktden folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben:

Mark Hofman von SANS ISC Handlersfür die Zusammenarbeit mit uns bezüglich der Sicherheitsanfälligkeit in der DNS-RPC-Verwaltung – (CVE-2007-1748).

Bill O'Malley vom Information Security Office an der Carnegie Mellon Universityfür die Zusammenarbeit mit uns an der Sicherheitsanfälligkeit in der DNS-RPC-Verwaltung – (CVE-2007-1748).

Weitere Sicherheitsupdates:

Updates für andere Sicherheitsrisiken sind unter den folgenden Adressen erhältlich:

Sicherheitsupdates sind im Microsoft Download Centerverfügbar und können am einfachsten durch eine Suche nach dem Begriff „security_patch“ oder „security_update“ ermittelt werden.

Updates für Kundenplattformen können Sie auf der Microsoft Update-Websiteabrufen.

Support:

Technischer Support ist über die Microsoft Support Serviceserhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.

Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Sicherheitsressourcen:

Die Website TechNet Sicherheitbietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

TechNet Update Management Center

Microsoft Software Update Services

Microsoft Windows Server Update Services

Microsoft Baseline Security Analyzer(MBSA)

Windows Update

Microsoft Update

Windows Update-Katalog: Weitere Informationen zum Windows Update-Katalog finden Sie im Microsoft Knowledge Base-Artikel 323166.

Office Update 

Software Update Services:

Mit den Microsoft Software Update Services (SUS) können Sie als IT-Administrator neue wichtige Updates, Hotfixes oder Patches schnell und zuverlässig auf den Servern und Desktop-Computern in Ihrem Netzwerk bereitstellen. Die SUS unterstützen die Produkte der Windows 2000 Server- und Windows Server 2003-Familie sowie Windows 2000 Professional und Windows XP Professional.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Software Update Services finden Sie auf der Software Update Services-Website.

In Reaktion auf Kundenfeedback und um Benutzern zusätzliche Zeit zu gewähren, von Software Update Services (SUS) 1.0 zu migrieren, hat Microsoft das Ende des Supportzeitraums auf Dienstag, den 10. Juli 2007 verlegt. Windows Server Update Services, (WSUS), der Nachfolger von SUS, unterstützt die Aktualisierung einer breiteren Palette an Microsoft-Produkten und bietet widerstandsfähige Verwaltungs- und Berichterstattungsfunktionen. Benutzer können WSUS von der Website Windows Server Update Services (WSUS)herunterladen.

Windows Server Update Services:

Mithilfe der Windows Server Update Services (WSUS) können Administratoren die neuesten wichtigen Aktualisierungen und Sicherheitsupdates für Windows 2000 und später, Office XP und später, Exchange Server 2003 und SQL Server 2000 schnell und zuverlässig bereitstellen.

Weitere Informationen zum Bereitstellen von Sicherheitsupdates mithilfe der Windows Server Update Services finden Sie auf der Windows Server Update Services-Website.

Systems Management Server:

Der Systems Management Server (SMS) von Microsoft stellt eine wertvolle Hilfe beim Bereitstellen von Sicherheitsupdates in Ihrer IT-Umgebung dar. Durch die Verwendung von SMS können Administratoren auf Windows basierte Systeme identifizieren, für die Sicherheitsupdates erforderlich sind, und für eine kontrollierte Bereitstellung dieser Updates im gesamten Unternehmen bei minimalen Unterbrechungen für Endbenutzer sorgen. Hierbei handelt es sich zum Beispiel um das SMS 2003 Software Update Services Feature Packund das SMS 2003 Administration Feature Pack. Benutzer von SMS 2.0 können auch die Website Software Updates Service Feature Packbesuchen, um Hilfe bei der Bereitstellung von Sicherheitsupdates zu erhalten. Weitere Informationen zu SMS finden Sie auf der SMS-Website.

Hinweis:SMS nutzt den Microsoft Baseline Security Analyzer, das Microsoft Office Detection Tool und das Enterprise Update Scan Tool, um eine breite Unterstützung bei der Erkennung und der Bereitstellung von Security Bulletin-Updates bereitzustellen. Einige Softwareupdates werden von diesen Tools möglicherweise nicht erkannt. Administratoren können in diesen Fällen die Inventurfunktionen von SMS nutzen, um Updates auf ausgewählten Systemen zu installieren. Weitere Informationen hierzu finden Sie auf dieser Website. Bei einigen Sicherheitsupdates, die einen Neustart des Systems erfordern, sind unter Umständen administrative Rechte nötig. Administratoren können das im SMS 2003 Administration Feature Packund im SMS 2.0 Administration Feature Packenthaltene Elevated Rights Deployment Tool verwenden, um diese Updates zu installieren.

Haftungsausschluss:

Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen: 

V1.0 (8. Mai 2007): Bulletin veröffentlicht.

V1.1 (31. Mai 2007): Bulletin wurde überarbeitet. Dateiinformationen für Windows Server 2003 wurden aktualisiert. Im gesamten Bulletin wurde für Serverkonfigurationen klargestellt, dass die Installation der DNS-Funktionalität als Voraussetzung für die Installation des Sicherheitsupdates erforderlich sein könnte.

V1.2 (6. Juni 2007): Bulletin wurde überarbeitet. Es entfernt „Service Pack 1” aus allen Instanzen von „Windows Server 2003 x64 Edition Service Pack 1” im kompletten Bulletin.


Zum SeitenbeginnZum Seitenbeginn