Microsoft 安全公告 MS04-030
WebDAV XML Message Handler 中的公告标题漏洞可能导致“拒绝服务”攻击 (824151)
发布时间:2004 年 10 月 12 日
版本:1.0
摘要
本文的目标读者:使用 Microsoft® Windows® 的客户
安全漏洞的影响: 拒绝服务
最高严重等级:重要
建议:用户应尽早安装该更新。
安全更新替代:无
注意事项:此更新包含一处功能更改,这可能会影响一些应用程序。 受影响的应用程序将报告具有许多 XML 属性的有效 WebDAV 请求。 有关更多信息,请参阅与此安全更新相关的“常见问题解答(FAQ)”下的“此更新是否包含对功能的任何其他更改?”。
测试过的软件和安全更新下载位置:
受影响的软件:
| • | Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4 – 下载更新 |
| • | Microsoft Windows XP、Microsoft Windows XP Service Pack 1 – 下载更新 |
| • | Microsoft Windows XP 64-Bit Edition Service Pack 1 – 下载更新 [英文] |
| • | Microsoft Windows XP 64 位版本(2003 版)– 下载更新 [英文] |
| • | Microsoft Windows Server™ 2003 – 下载更新 |
| • | Microsoft Windows Server 2003 64 位版本 – 下载更新 [英文] |
不受影响的软件:
| • | Microsoft Windows NT Server 4.0 Service Pack |
| • | Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6 |
| • | Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (Me) |
受影响的组件:
| • | Internet 信息服务 5.0 |
| • | Internet Information Services 5.1 |
| • | Internet Information Services 6.0 |
不受影响的组件:
| • | Internet Information Server 4.0 |
已对此列表中的软件进行了测试,以确定这些版本是否会受到影响。 其他版本或者不再包括安全更新支持,或者可能不会受到影响。 要确定产品和版本的技术支持生命周期,请访问 Microsoft 产品技术支持生命周期 Web 站点。
一般信息
摘要 |
摘要:
此更新可消除一个秘密报告的新发现漏洞。 本公告的“漏洞详细资料”部分中对此漏洞进行了说明。
成功利用此漏洞的攻击者可能导致 WebDAV 占用受感染服务器上的所有可用内存和 CPU 时间。 这种情况将导致拒绝服务。 必须重新启动 IIS 服务以恢复功能。
我们建议用户考虑应用安全更新。
严重等级和漏洞标识:
| 漏洞标识 | 安全漏洞的影响 | Windows 2000 | Windows XP | Windows Server 2003 |
WebDAV 漏洞 - CAN-2004-0718 | 拒绝服务 | 重要事项 | 中等 | 中等 |
此评估是基于以下几点作出的:受此漏洞影响的系统类型,它们的典型部署模式,以及利用此漏洞会对它们产生什么影响。
与此安全更新相关的常见问题解答 (FAQ) |
此更新是否包含对功能的任何其他更改?
是。 除了在此公告的“漏洞详细资料”部分中列出的更改之外,更新要求将新的限制应用至 WebDAV 接受的 XML 文档。 由于此更改,违反这些新限制的有效请求将作为失败请求返回给客户。 您可以使用元数据库条目配置这些新限制。 如果某个应用程序需要会被拒绝的文档,您可以调整元数据库条目以支持所需内容。 新的元数据库配置记录在 Microsoft 知识库文章 824151 中。
此更新是否有需要注意的其他情况?
是。 此更新软件包包含 MSXML 3.0 Service Pack 5 的完整升级。 为确保在应用安全更新之后功能正常,需要此升级。 为将部署影响降至最低,我们将该升级包含在与安全更新相同的软件包中。
MSXML 版本并行,因此 MSXML 的不同主要版本不受影响。 某些程序现在可能默认为使用 MSXML 3.0 而不是 MSXML 的其他主要版本,特别是在先前未安装 MSXML 3.0 的任何版本时更是如此。
Windows XP 和 Windows 2003 系统上总是存在 MSXML 3.0。
我仍在使用 Microsoft Windows 2000 Service Pack 2,但延长安全更新支持已在 2004 年 6 月 30 日结束。我该怎么办?
正如前面所提到的,Windows 2000 Service Pack 2 的生命周期已经结束 ,且 Microsoft 将此支持延长至 2004 年 6 月 30 日。
使用此操作系统版本的用户最好迁移到受支持的版本,以防止可能会受到漏洞的影响。 有关 Windows 产品生命周期的详细信息,请访问 Microsoft 产品技术支持生命周期 Web 站点。 有关这些操作系统版本的延长安全更新支持周期的详细信息,请访问 Microsoft 产品支持服务 Web 站点。
我正在使用 Windows XP,但延长安全支持已在 2004 年 9 月 30 日结束。但是,此公告具有适用于此操作系统版本的安全 更新。这是怎么回事呢?
Windows XP 的原始版本(通常称为 Windows XP Gold 或 Windows XP Release to Manufacturing (RTM) 版本)的延长安全更新支持生命周期已在 2004 年 9 月 30 日结束。 但是, 生命周期是最近结束的。 在这种情况下,消除此漏洞所需的大多数步骤在此日期之前已完成。 因此,我们决定在此安全公告中发布此操作系统版本的安全更新。 我们预计以后不会为影响该操作系统版本的新漏洞发布安全更新,但我们保留在必要时开发并发布这些更新的权利。 使用此操作系统版本的用户最好迁移到受支持的操作系统版本,以防止可能会受到漏洞的影响。 有关 Windows Service Pack 产品生命周期的详细信息,请访问 Microsoft 产品技术支持生命周期 Web 站点。 有关 Windows 产品生命周期的详细信息,请访问 Microsoft 产品技术支持生命周期 Web 站点。
有关详细信息,请参见 Windows 操作系统常见问题解答。
可否使用 Microsoft 基准安全分析器 (MBSA) 确定是否需要此更新?
是。 MBSA 可以确定是否需要此更新。 有关 MBSA 的详细信息,请访问 MBSA Web 站点。
值得注意的是,如果此更新中包含 MSXML 3.0 Service Pack 5,MBSA 将检测 IIS 以及 MSXML 3.0 Service Pack 5 所需的更新,并在单独的节点下进行报告。
注意:在 2004 年 4 月 20 日以后,将不再使用新的安全公告数据来更新 MBSA 1.1.1 及更早版本所使用的 Mssecure.xml 文件。 因此,该日期后使用 MBSA 1.1.1 或更早版本所进行的扫描将是不完整的。 所有用户都应升级到 MBSA 1.2,因为该版本提供更准确的安全更新检测,并支持其他的产品。 用户可以从 MBSA Web 站点下载 MBSA 1.2。 有关 MBSA 支持的详细信息,请访问 Microsoft 基准安全分析器 1.2 问题与解答 Web 站点。
可否使用 Systems Management Server (SMS) 确定是否需要此更新?
是。 SMS 可以帮助您检测和部署此安全更新。 有关 SMS 的信息,请访问 SMS Web 站点。
您可以使用 SMS 的清单和软件分发功能部署此更新。
漏洞详细资料 |
WebDAV 漏洞 - CAN-2004-0718: |
存在一个拒绝服务漏洞,这使攻击者能够向运行 IIS 和 WebDAV 的服务器发送精心制作的 WebDAV 请求。 攻击者可能导致 WebDAV 占用受感染服务器上的所有可用内存和 CPU 时间。 必须重新启动 IIS 服务以恢复功能。
WebDAV 漏洞的缓解因素 - CAN-2004-0718: |
| • | 如果攻击者能够与受感染的服务器建立 Web 会话,则只能以远程方式利用此漏洞。 |
| • | 默认情况下,Windows XP 和 Windows Server 2003(Windows Server 2003 Web Server Edition 除外)不安装 IIS。 |
| • | Windows 2000 附带的 IIS 5.0 是唯一在默认情况下启用 WebDAV 的版本 |
| • | Windows NT 4.0 不受此漏洞的影响。 |
WebDAV 漏洞的变通方法 - CAN-2004-0718: |
Microsoft 已测试过以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞,但它们有助于阻塞已知的攻击媒介。 如果某种变通办法导致功能下降,在下面将进行说明。
| • | 如果不需要 IIS 5.0 上的 WebDAV,则禁用它。 |
WebDAV 漏洞的常见问题解答 - CAN-2004-0718: |
此漏洞的影响范围有多大?这是一个拒绝服务漏洞。 成功利用此漏洞的攻击者可能导致 WebDAV 占用受感染服务器上的所有可用内存和 CPU 时间。 必须重新启动 IIS 服务以恢复功能。
此漏洞因何而起?
WebDAV 不限制可按 WebDAV 请求中的 XML 元素指定的属性数。
为什么此漏洞要求升级到 MSXML 3.0 Service Pack 5(包含在此安全更新中)?
Microsoft XML Parser 是应用程序用来处理 XML 文档的核心操作系统组件。 此组件由 WebDAV 和第三方应用程序使用。 要使 WebDAV 能够限制它可以在提交的文档上尝试处理的属性数,此更新是必需的。
我是否需要单独安装 MSXML 3.0 Service Pack 5?
否。 更新软件包不仅包含 WebDAV 的更新,而且包含 MSXML 3.0 的升级文件,以便将安装升级到 Service Pack 5。
什么是 WebDAV?
WebDAV 是一种行业标准,是 HTTP 规范的扩展。 “WebDAV”中的“DAV”代表“distributed authoring and versioning”(分布式制作和版本控制)。WebDAV 为授权用户提供了在 Web 服务器上远程添加和管理内容的功能。 默认情况下,如果 Windows 2000 上启用 IIS,则启用 WebDAV。 默认情况下, IIS 5.1 或 IIS 6.0 上不安装 WebDAV。
WebDAV 处理 HTTP 请求的方法存在什么问题?
在 XML Parser、MSXML 3.0、WebDAV 或其他使用 Microsoft XML Parser 的第三方应用程序的最近更新之前,无法限制 Microsoft XML Parser 在提交的文档上尝试处理的属性数。
攻击者可能利用此漏洞执行什么操作?
这是一个拒绝服务漏洞。 攻击者将造成正常服务中断。 重新启动受影响的服务可恢复服务器的正常功能。 但是,服务仍然容易受到新的拒绝服务攻击,直到应用该更新时为止。
哪些人可能会利用此漏洞?
可以向受影响的 Web 服务递交 WebDAV 请求的用户会利用此漏洞。 因为 WebDAV 请求将通过与 HTTP 相同的端口(通常为端口 80)传送,可以与受影响的 Web 服务器建立连接的攻击者可以尝试利用此漏洞。 还可以通过另一种方法访问受影响的组件,例如通过接收 HTTP 请求并使用 XML Parser 处理 XML 文档的其他应用程序,或者通过使用与 WebDAV 类似的其他应用程序(它以本地方式或远程方式使用易受攻击的组件处理 XML 文档)。
攻击者能够如何利用此漏洞?
要利用此漏洞,攻击者必须向受影响的 Web 站点发送精心制作的 HTTP 消息,当 IIS 处理这些消息时,会将 IIS 服务器上的 CPU 利用率和内存使用率增加到 100%。 XML 消息中每个 XML 元素包含的 XML 属性越多,IIS 服务处理 XML 消息所需的时间就越长。 这会造成在 IIS 处理消息的时候拒绝服务,而且必须重新启动服务才能恢复服务器的功能。
受此漏洞威胁最大的系统是哪些?
运行 IIS 和 WebDAV 服务的服务器受此漏洞威胁最大。
是否可以通过 Internet 利用此漏洞?
是。 攻击者可以通过 Internet 来利用此漏洞。 采用防火墙最佳做法和标准默认防火墙配置,有助于保证免受来自 Internet 的攻击。 Microsoft 提供了关于如何帮助保护您的 PC 的信息。 最终用户可以访问保护您的 PC Web 站点。 IT 专业人士可以访问安全指南中心 Web 站点。
此更新有什么作用?
此更新通过确保 WebDAV 使用新的 XML parser 属性来限制它在基于 WebDAV 的请求中接受的 XML 文档中每个元素的 XML 数,消除此漏洞
发布此安全公告时,此漏洞是否已公开披露?
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。 在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开披露的信息。
安全更新信息 |
安装平台和先决条件:
有关针对您的平台的特定安全更新的信息,请单击相应的链接:
\f68 Windows Server 2003 |
先决条件
此安全更新需要 Windows Server 2003 的发布版本。
包括在将来的 Service Pack 中 :
此问题的更新将包括在 Windows Server 2003 Service Pack 1 中。
安装信息
此安全更新支持以下安装开关:
/help 显示命令行选项
安装模式
/quiet 安静模式(无用户交互或显示)
/passive 无人参与模式(只显示进度栏)
/uninstall 卸载程序包
重新启动选项
/norestart 安装完成后不重新启动
/forcerestart 安装完成后重新启动
特殊选项
/l 列出已安装的 Windows 修复程序或更新程序包
/o 不经提示而覆盖 OEM 文件
/n 不备份卸载所需的文件
/f 在计算机关机时强制关闭其他程序
/extract 提取文件,但不启动安装程序
注意:可以将这些开关组合到一个命令中。 为了保持向后兼容,此安全更新还支持以前版本的安装实用工具所使用的安装开关。 有关受支持的安装开关的详细信息,请参见 Microsoft 知识库文章 262841。
部署信息
对于 Windows Server 2003,要在没有任何用户干预的情况下安装此安全更新,请在命令提示符处使用以下命令:
Windowsserver2003-kb??????-x86-enu /passive /quiet
对于 Windows Server 2003,要安装此安全更新而不强制重新启动系统,请在命令提示符处使用以下命令:
Windowsserver2003-kb??????-x86-enu /norestart
有关如何使用软件更新服务部署此安全更新的信息,请访问软件更新服务 Web 站点。
重新启动要求
在某些情况下,此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。 (Comment 16: Make sure to verify this text. Otherwise use: You must restart your system after you apply this security update.)
删除信息
要删除此更新,请使用“控制面板”中的“添加/删除程序”工具。
系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB??????$\Spuninst 文件夹中。 Spuninst.exe 实用工具支持以下安装开关:
/?:显示安装开关列表。
/u:使用无人参与模式。
/f:当计算机关机时强制其他程序退出。
/z:安装完成后不重新启动。
/q:使用安静模式(没有用户交互)。
文件信息
此更新的英文版具有下表所列的文件属性(或更高版本)。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时,它将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。
Windows Server 2003 Enterprise Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Web Edition 和 Windows Server 2003 Datacenter Edition:
日期 时间 版本 大小 文件名 平台 文件夹 ------------------------------------------------------------------------- <Insert Server 2003 RTM File Manifest>
Windows Server 2003 64-Bit Enterprise Edition 和 Windows Server 2003 64-Bit Datacenter Edition:
日期 时间 版本 大小 文件名 平台 文件夹 ------------------------------------------------------------------------- <Insert Server 2003 64 Bit File Manifest>
注意:当您在 Windows Server 2003 或 Windows XP 64-Bit Edition Version 2003 上安装此安全更新时,安装程序将检查系统中正在更新的文件中是否有以前被 Microsoft 修复程序更新过的文件。 如果以前安装的修复程序已经更新过其中的某个文件,安装程序就会将 RTMQFE 文件复制到系统中。 否则,安装程序将 RTMGDR 文件复制到系统中。 有关详细信息,请参见 Microsoft 知识库文章 824994。
验证更新安装
| • | Microsoft 基准安全分析器 要验证受影响的系统上是否安装了安全更新,可以使用 Microsoft 基准安全分析器 (MBSA) 工具。 管理员可以使用此工具,在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器 Web 站点。 | ||||||||||
| • | 文件版本验证 注意 由于 Microsoft Windows 有多个版本,因此以下步骤可能会因您的计算机而不同。 如果不同,请参阅产品文档来完成这些步骤。
| ||||||||||
| • | 注册表项验证 也可以通过查看以下注册表项,检查此安全更新已安装的文件。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB??????\Filelist 注意:此注册表项可能不包含已安装文件的完整列表。 而且,如果管理员或 OEM 将 ?????? 安全更新集成或组合到 Windows 安装源文件,则这些注册表项无法正确创建。 |
\f68 Windows XP |
注意:对于 Windows XP 64-Bit Edition Version 2003,此安全更新与 Windows Server 2003 64-Bit Edition 的安全更新相同。
先决条件
此安全更新需要 Windows XP 或 Windows XP Service Pack 1 (SP1) 的发布版本。 有关详细信息,请参见 Microsoft 知识库文章 322389。
包括在将来的 Service Pack 中:
此问题的更新将包括在 Windows XP Service Pack 2 中。
安装信息
此安全更新支持以下安装开关:
/help 显示命令行选项
安装模式
/quiet 安静模式(无用户交互或显示)
/passive 无人参与模式(只显示进度栏)
/uninstall 卸载程序包
重新启动选项
/norestart 安装完成后不重新启动
/forcerestart 安装完成后重新启动
特殊选项
/l 列出已安装的 Windows 修复程序或更新程序包
/o 不经提示而覆盖 OEM 文件
/n 不备份卸载所需的文件
/f 在计算机关机时强制关闭其他程序
/extract 提取文件,但不启动安装程序
注意:可以将这些开关组合到一个命令中。 为了保持向后兼容,此安全更新还支持以前版本的安装实用工具所使用的安装开关。 有关受支持的安装开关的详细信息,请参见 Microsoft 知识库文章 262841。
部署信息
对于 Windows XP,要在没有任何用户干预的情况下安装此安全更新,请在命令提示符处使用以下命令:
Windowsxp-kb??????-x86-enu /passive /quiet
对于 Windows XP,要安装此安全更新而不强制重新启动系统,请在命令提示符处使用以下命令:
Windowsxp-kb??????-x86-enu /norestart
有关如何使用软件更新服务部署此安全更新的详细信息,请访问软件更新服务 Web 站点。
重新启动要求
在某些情况下,此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。 (Comment17: Make sure to verify this text. Otherwise use: You must restart your system after you apply this security update.)
删除信息
要删除此安全更新,请使用“控制面板”中的“添加或删除程序”工具。
系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 位于 %Windir%\$NTUninstallKB??????$\Spuninst 文件夹中。 Spuninst.exe 实用工具支持以下安装开关:
/?:显示安装开关列表。
/u:使用无人参与模式。
/f:当计算机关机时强制其他程序退出。
/z:安装完成后不重新启动。
/q:使用安静模式(没有用户交互)。
文件信息
此更新的英文版具有下表所列的文件属性(或更高版本)。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时,它将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。
Windows XP Home Edition、Windows XP Professional、Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition:
日期 时间 版本 大小 文件名 文件夹 ------------------------------------------------------------------- <Insert XP RTM File Manifest>
Windows XP 64-Bit Edition Service Pack 1:
日期 时间 版本 大小 文件名 平台 -------------------------------------------------------------------------- Insert XP 64-Bit Edition File Manifest>
Windows XP 64-Bit Edition Version 2003:
日期 时间 版本 大小 文件名 平台 文件夹 ------------------------------------------------------------------------- <Insert XP 64-Bit Edition Version 2003 File Manifest>
注意:此安全更新的 Windows XP 和 Windows XP 64-Bit Edition Version 2003 版本打包为双模式程序包,其中包含 Windows XP 的原始版本和 Windows XP Service Pack 1 (SP1) 的文件。 有关双模式程序包的详细信息,请参见 Microsoft 知识库文章 328848。
在安装 Windows XP 64-Bit Edition Version 2003 安全更新时,安装程序将检查系统中正在更新的文件中是否有以前被 Microsoft 修复程序更新过的文件。 如果以前安装的修复程序已经更新过其中的某个文件,安装程序就会将 RTMQFE 文件复制到系统中。 否则,安装程序将 RTMGDR 文件复制到系统中。 有关详细信息,请参见 Microsoft 知识库文章 824994。
验证更新安装
| • | Microsoft 基准安全分析器 要验证受影响的系统上是否安装了安全更新,可以使用 Microsoft 基准安全分析器 (MBSA) 工具。 管理员可以使用此工具,在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器 Web 站点。 | ||||||||||
| • | 文件版本验证 注意 由于 Microsoft Windows 有多个版本,因此以下步骤可能会因您的计算机而不同。 如果不同,请参阅产品文档来完成这些步骤。
| ||||||||||
| • | 注册表项验证 也可以通过查看以下注册表项,检查此安全更新已安装的文件。 对于 Windows XP Home Edition、Windows XP Professional、Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP 64-Bit Edition Service Pack 1、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB??????\Filelist 对于 Windows XP 64-Bit Edition Version 2003: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB??????\Filelist 注意:这些注册表项可能不包含已安装文件的完整列表。 而且,如果管理员或 OEM 将 ?????? 安全更新集成或组合到 Windows 安装源文件,则这些注册表项无法正确创建。 |
Windows 2000(所有版本) |
先决条件
对于 Windows 2000,此安全更新要求 Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。
已对列出的软件进行了测试,以确定这些版本是否会受到影响。 其他版本或者不再包括安全更新支持,或者可能不会受到影响。 要确定产品和版本的技术支持生命周期,请访问 Microsoft 产品技术支持生命周期 Web 站点。
有关如何获得最新 Service Pack 的详细信息,请参见 Microsoft 知识库文章 260910。
包括在将来的 Service Pack 中:
此问题的更新将包括在 Windows 2000 Service Pack 5 中。
安装信息
此安全更新支持以下安装开关:
/help 显示命令行选项
安装模式
/quiet 安静模式(无用户交互或显示)
/passive 无人参与模式(只显示进度栏)
/uninstall 卸载程序包
重新启动选项
/norestart 安装完成后不重新启动
/forcerestart 安装完成后重新启动
特殊选项
/l 列出已安装的 Windows 修复程序或更新程序包
/o 不经提示而覆盖 OEM 文件
/n 不备份卸载所需的文件
/f 在计算机关机时强制关闭其他程序
/extract 提取文件,但不启动安装程序
注意:可以将这些开关组合到一个命令中。 为了保持向后兼容,此安全更新还支持以前版本的安装实用工具所使用的安装开关。 有关受支持的安装开关的详细信息,请参见 Microsoft 知识库文章 262841。
部署信息
对于 Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4,要在没有任何用户干预的情况下安装此安全更新,请在命令提示符处使用以下命令:
Windows2000-kb??????-x86-enu /passive /quiet
对于 Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4,要安装此安全更新而不强制重新启动系统,请在命令提示符处使用以下命令:
Windows2000-kb??????-x86-enu /norestart
有关如何使用软件更新服务部署此安全更新的详细信息,请访问软件更新服务 Web 站点。
重新启动要求
在某些情况下,此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。 (Comment18: Make sure to verify this text. Otherwise use: You must restart your system after you apply this security update.)
删除信息
要删除此安全更新,请使用“控制面板”中的“添加或删除程序”工具。
系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB??????$\Spuninst 文件夹中。 Spuninst.exe 实用工具支持以下安装开关:
/?:显示安装开关列表。
/u:使用无人参与模式。
/f:当计算机关机时强制其他程序退出。
/z:安装完成后不重新启动。
/q:使用安静模式(没有用户交互)。
文件信息
此更新的英文版具有下表所列的文件属性(或更高版本)。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时,它将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。
注意:可以在安装期间更改日期、时间、文件名和大小信息。 有关如何验证安装的详细信息,请参见“验证更新安装”部分。
Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4:
日期 时间 版本 大小 文件名 ------------------------------------------------------ <Insert Windows 2000 File Manifest>
验证更新安装
| • | Microsoft 基准安全分析器 要验证受影响的系统上是否安装了安全更新,可以使用 Microsoft 基准安全分析器 (MBSA) 工具。 管理员可以使用此工具,在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器 Web 站点。 | ||||||||||
| • | 文件版本验证 注意 由于 Microsoft Windows 有多个版本,因此以下步骤可能会因您的计算机而不同。 如果不同,请参阅产品文档来完成这些步骤。
| ||||||||||
| • | 注册表项验证 也可以通过查看以下注册表项,检查此安全更新已安装的文件: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB??????\Filelist 注意:此注册表项可能不包含已安装文件的完整列表。 而且,如果管理员或 OEM 将 ?????? 安全更新集成或组合到 Windows 安装源文件,则这些注册表项无法正确创建。 |
Windows NT 4.0(所有版本) |
先决条件
此安全更新要求 Windows NT Server 4.0 Service Pack 6a (SP6a) 或 Windows NT Server 4.0 Terminal Server Edition Service Pack 6 (SP6)。
已对列出的软件进行了测试,以确定这些版本是否会受到影响。 其他版本或者不再包括安全更新支持,或者可能不会受到影响。 要确定产品和版本的技术支持生命周期,请访问 Microsoft 产品技术支持生命周期 Web 站点。
有关获得最新 Service Pack 的详细信息,请参见 Microsoft 知识库文章 152734。
安装信息
此安全更新支持以下安装开关:
/y:执行删除(仅与 /m 或 /q 一起使用)
/f:关机过程中强制程序退出
/n:不创建 Uninstall 文件夹
/z:更新完成后不重新启动
/q:使用不带用户界面的“安静”模式或“无人参与”模式(此开关是 /m 开关的超集)。
/m:使用带用户界面的无人参与模式
/l:列出安装的修复程序
/x:提取文件,但不运行安装程序
注意:可以将这些开关组合到一个命令中。 有关受支持的安装开关的详细信息,请参见 Microsoft 知识库文章 262841。
部署信息
对于 Windows NT Server 4.0,要在没有任何用户干预的情况下安装此安全更新,请在命令提示符处使用以下命令:
Windowsnt4server-kb??????-x86-enu /q
对于 Windows NT Server 4.0 Terminal Server Edition:
Windowsnt4terminalserver-kb??????-x86-enu /q
对于 Windows NT Server 4.0,如果在安装此安全更新后不强制系统重新启动,请在命令提示符处使用以下命令:
Windowsnt4server-kb??????-x86-enu /z
对于 Windows NT Server 4.0 Terminal Server Edition:
Windowsnt4terminalserver-kb??????-x86-enu /z
有关如何使用软件更新服务部署此安全更新的详细信息,请访问软件更新服务 Web 站点。
重新启动要求
在某些情况下,此更新不需要重新启动。 安装程序停止所需的服务,应用此更新,然后重新启动这些服务。 但是,如果由于某种原因而无法停止所需服务,或者正在使用所需文件,则此更新需要重新启动。 如果发生这种情况,将显示一条消息建议您重新启动。 (Comment 19: Make sure to verify this text. Otherwise use: You must restart your computer after you apply this security update.)
删除信息
要删除此安全更新,请使用“控制面板”中的“添加/删除程序”工具。
系统管理员也可以使用 Hotfix.exe 实用工具删除此安全更新。 Hotfix.exe 实用工具位于 %Windir%\$NTUninstallKB??????$ 文件夹中。 Hotfix.exe 实用工具支持以下安装开关:
/y:执行删除(仅与 /m 或 /q 开关一起使用)
/f:关机过程中强制程序退出
/n:不创建 Uninstall 文件夹
/z:安装完成后不重新启动
/q:使用不带用户界面的安静模式或无人参与模式(此开关是 /m 开关的超集)
/m:使用带用户界面的无人参与模式
/l:列出安装的修复程序
文件信息
此更新的英文版具有下表所列的文件属性(或更高版本)。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时,它将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。
注意:可以在安装期间更改日期、时间、文件名和大小信息。 有关如何验证安装的详细信息,请参见“验证更新安装”部分。
对于 Windows NT Server 4.0:
日期 时间 版本 大小 文件名 ------------------------------------------------------ <Insert NT Server 4.0 File Manifest>
对于 Windows NT Server 4.0 Terminal Server Edition:
日期 时间 版本 大小 文件名 ------------------------------------------------------- <Insert NT Server 4.0 Terminal Server Edition File Manifest>
验证更新安装
| • | Microsoft 基准安全分析器 要验证受影响的系统上是否安装了安全更新,可以使用 Microsoft 基准安全分析器 (MBSA) 工具。 管理员可以使用此工具,在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器 Web 站点。 | ||||||||||
| • | 文件版本验证 注意 由于 Microsoft Windows 有多个版本,因此以下步骤可能会因您的计算机而不同。 如果不同,请参阅产品文档来完成这些步骤。
| ||||||||||
| • | 注册表项验证 也可以通过查看以下注册表项,检查此安全更新已安装的文件: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\KB??????\File 1 注意:此注册表项可能不包含已安装文件的完整列表。 而且,如果管理员或 OEM 将 ?????? 安全更新集成或组合到 Windows 安装源文件,则这些注册表项无法正确创建。 |
Windows XP(所有版本) |
先决条件和其他更新详细信息 |
重要事项: 在您安装此更新之前,请确保符合以下要求:
| • | 必须安装 Microsoft Windows Installer 2.0。 Microsoft Windows Server 2003、Windows XP 和 Microsoft Windows 2000 Service Pack 3 (SP3) 都包含了 Windows 安装程序 2.0 或更高版本。 要安装最新版本的 Windows 安装程序,请访问下列 Microsoft Web 站点之一。 Windows 95、Windows 98、Windows 98 SE 和 Windows Millennium Edition 的 Windows Installer 2.0 |
| • | 必须安装 Office XP Service Pack 3 (SP3)。 安装此更新之前,请安装 Office XP SP3。 有关如何安装 Office XP SP3 的其他信息,请参阅 Microsoft 知识库文章 832671。 管理更新也可以安装在运行 Office XP Service Pack 2 或 Office XP Service Pack 3 的系统上。 |
有关如何确定计算机上 Office XP 的版本的其他信息,请参阅 Microsoft 知识库文章 291331。
包括在将来的 Service Pack 中:
此问题的修补程序将包含在以后的 Service Pack 中。
重新启动要求
无需重新启动。
删除信息
安装更新后,无法删除它。 要在安装更新前还原安装,您必须删除该应用程序,然后通过原始的 CD-ROM 重新安装它。
自动化客户端安装信息 |
Office Update Web 站点
Microsoft 建议您通过 Office Update Web 站点安装 Microsoft Office XP 客户端。 Office Update Web 站点会检测您安装的特定程序,并提示您确切安装必须安装的更新,以确保所安装的程序彻底是最新的。
让 Office Update Web 站点检测您必须在计算机上安装的更新,请访问 Office Update Web 站点,然后单击“检查更新”。 检测完成后,您会收到供您认可的建议更新列表。 单击“Start Installation”(开始安装)以完成更新过程。
手动客户端安装信息 |
有关如何手动安装此更新的详细信息,请查看以下部分。
安装信息
此安全更新支持以下安装开关:
/Q 指定安静模式,或在提取文件时禁止显示提示。
/Q:U 指定用户安静模式,该模式向用户显示某些对话框。
/Q:A 指定管理员安静模式,该模式不向用户显示任何对话框。
/T:<full path> 指定用于提取文件的目标文件夹。
/C 提取文件,但不安装它们。 如果不指定 /T: path,系统将提示您提供一个目标文件夹。
/C:<Cmd> 覆盖作者定义的安装命令。 指定安装程序的 .inf 或 .exe 文件的路径和名称。
/R:N 安装后从不重新启动计算机。
/R:I 如果需要重新启动计算机,则提示用户重新启动,与 /Q:A 一起使用时除外。
/R:A 安装后始终重新启动计算机。
/R:S 安装后在不提示用户的情况下重新启动计算机。
/N:V 不进行版本检查,在任何以前的版本上安装程序。
注意:这些开关并不一定适用于所有更新。 如果某开关不可用,则表明该功能是正确安装更新所必需的。 此外,不支持使用 /N:V 开关,它可能会导致系统无法启动。 如果安装失败,您应该咨询您的支持专业人员以了解安装失败的原因。
有关受支持的安装开关的其他信息,请参见 Microsoft 知识库文章 197147。
客户端部署信息
1. | |
2. | 单击“将该程序保存到磁盘”,然后单击“确定”。 |
3. | 单击 Save(保存)。 |
4. | 在 Windows 资源管理器中,找到包括已保存文件的文件夹,然后双击这个已保存的文件。 |
5. | 如果系统提示您安装更新,则单击“是”。 |
6. | 单击 Yes(是)接受许可协议。 |
7. | 在系统提示时插入原始源 CD-ROM,然后单击“OK”(确定)。 |
8. | 当您收到指示安装成功的消息时,单击“OK”。 |
注意: 如果安全更新已经安装在计算机上,您会收到以下错误消息:This update has already been applied or is included in an update that has already been applied(此更新已应用,或者包含在已应用的更新中)。
客户端安装文件信息
此更新的英文版具有下表所列的文件属性(或更高版本)。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时,它将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。
Office XP:
日期 时间 版本 大小 文件名 -------------------------------------------------------- 0X-XXX-2004 21:56 xx.x.xxxx.x x,xxx,xxx xxx.xxx
验证更新安装
| • | Microsoft 基准安全分析器 要验证受影响的系统上是否安装了安全更新,也许可以使用 Microsoft 基准安全分析器 (MBSA) 工具。使用此工具,管理员可以在本地和远程系统中扫描缺少的安全更新和常见的安全错误配置。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器 Web 站点。 | ||||||||||
| • | 文件版本验证 注意 由于 Microsoft Windows 有多个版本,因此以下步骤可能会因您的计算机而不同。 如果不同,请参阅产品文档来完成这些步骤。
|
管理安装信息 |
如果从服务器位置安装了应用程序,则服务器的管理员必须利用管理更新对服务器位置进行更新,并将该更新部署到您的计算机。
安装信息
以下安装开关与管理安装有关,因为使用这些开关,管理员可以自定义从安全更新内提取文件的方式:
/? 显示命令行选项
/Q 指定安静模式,或在提取文件时禁止显示提示。
/T:<full path> 指定用于提取文件的目标文件夹。
/C 提取文件,但不安装它们。 如果不指定 /T: path,系统将提示您提供一个目标文件夹。
/C:<Cmd> 覆盖作者定义的安装命令。 指定安装程序的 .inf 或 .exe 文件的路径和名称。
有关受支持的安装开关的其他信息,请参见 Microsoft 知识库文章 197147。
管理部署信息
要更新您的管理安装,请执行以下步骤:
1. | |
2. | 单击“将该程序保存到磁盘”,然后单击“确定”。 |
3. | 单击 Save(保存)。 |
4. | 在 Windows 资源管理器中,找到含有已保存文件的文件夹,然后双击这个保存的文件。 |
5. | 如果系统提示您安装更新,则单击“是”。 |
6. | 单击 Yes(是)接受许可协议。 |
7. | 在“Type the location where you want to place the extracted files”(请键入放置提取文件的位置)框中,键入 c:\adminUpdate,然后单击“确定”。 |
8. | 当系统提示您创建该文件夹时,单击“是”。 |
9. | 如果您熟悉用于更新管理安装的过程,请单击“开始”,然后单击“运行”。 在“打开”框中键入以下命令 msiexec /a Admin Path\MSI File /p C:\adminUpdate\MSP File SHORTFILENAMES=TRUE 其中 Admin Path 是您的应用程序的管理安装点的路径(例如 C:\OfficeXP),MSI File 是用于该应用程序的 .msi 数据库包(例如 Data1.msi),MSP File 是管理更新的名称(例如 SHAREDff.msp)。 注意:可以在命令行后附加 /qb+,以使 Administrative Installation(管理安装)对话框和 End User License Agreement(最终用户协议)对话框不出现。 |
10. | 在提供的对话框中单击“下一步” 。 在提供的对话框中不要更改您的 CD 密钥、安装位置或公司名。 |
11. | 单击 I accept the terms in the License Agreement(我接受许可协议条款),然后单击 Install(安装)。 |
此时,您的管理安装点即更新。 接下来,您必须更新原先从该管理安装中安装的工作站。 为此,请查看“工作站部署”部分。 您从该管理安装点运行的任何新安装都将包括该更新。
警告:对于您在安装更新之前原先从该管理安装中安装的任何工作站,如果不为该工作站完成“工作站部署”部分中的步骤,这些工作站就无法利用该管理安装执行修补 Office、新增功能等操作。
工作站部署信息
要将更新部署到客户机工作站,请单击“开始”,然后单击“运行”。 在“打开”框中键入以下命令:
msiexec /i Admin Path\MSI File /qb REINSTALL=Feature List REINSTALLMODE=vomu
其中 Admin Path 是您的应用程序的管理安装点的路径(例如,C:\OfficeXP),MSI File 是用于该应用程序的 MSI 数据库包(例如,Data1.msi),Feature List 是必须为更新重新安装的功能名称(区分大小写)的列表。 要安装所有功能,您可以使用 REINSTALL=ALL。
注意:Microsoft 知识库文章 832332 提供其他说明。 您还可以在 Microsoft Office XP 资源工具箱 Web 站点查找有关此更新的信息。 有关 Microsoft Office XP 资源工具箱的一般信息,请访问 TechNet。 Windows 安装程序文档也提供关于 Windows 安装程序支持的参数的其他信息。
管理安装文件信息
此更新的英文版具有下表所列的文件属性(或更高版本)。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时,它将转换为本地时间。 要了解 UTC 与本地时间之间的时差,请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。
Office XP:
日期 时间 版本 大小 文件名 -------------------------------------------------------- 0X-XXX-2004 21:56 xx.x.xxxx.x x,xxx,xxx xxx.xxx
验证更新安装
| • | Microsoft 基准安全分析器 要验证受影响的系统上是否安装了安全更新,可以使用 Microsoft 基准安全分析器 (MBSA) 工具。 管理员可以使用此工具,在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。 有关 MBSA 的详细信息,请访问 Microsoft 基准安全分析器 Web 站点。 | ||||||||||
| • | 文件版本验证 注意 由于 Microsoft Windows 有多个版本,因此以下步骤可能会因您的计算机而不同。 如果不同,请参阅产品文档来完成这些步骤。
|
鸣谢
Microsoft 感谢下列人员或组织与我们一起致力于保护用户的利益:
| • | Amit Klein 和 Sanctum, Inc. 报告了 WebDAV 漏洞 (CAN-2004-0718). |
获取其他安全更新:
可从以下位置获得针对其他安全问题的更新:
| • | 可以从 Microsoft 下载中心获得安全更新:通过搜索关键字“安全修补程序”,可以非常方便地找到这些更新。 |
| • | 可从 Windows Update Web 站点获得有关用户平台的更新。 |
支持:
| • | 美国 和加拿大的用户可拨打电话 1-866-PCSAFETY,从 Microsoft 产品支持服务获得技术支持。 与安全更新有关的电话支持服务是免费的。 |
| • | 其他国家(或地区)的用户可从当地的 Microsoft 分公司获得支持。 与安全更新有关的支持服务不收取任何费用。 有关如何就支持问题与 Microsoft 取得联系方面的详细信息,请访问国际支持 Web 站点。 |
安全性资源:
| • | Microsoft TechNet 安全性 Web 站点提供了有关 Microsoft 产品安全性的详细信息。 |
| • | |
| • | Microsoft 基准安全分析器 (MBSA) |
| • | |
| • | Windows Update 目录:有关 Windows Update 目录的详细信息,请参见 Microsoft 知识库文章 323166。 |
| • |
软件更新服务:
通过使用 Microsoft 软件更新服务 (SUS),管理员可以在基于 Windows 2000 和 Windows Server 2003 的服务器以及运行 Windows 2000 Professional 或 Windows XP Professional 的台式机系统上快速而可靠地部署最新的重要更新和安全更新。
有关如何使用软件更新服务部署此安全更新的详细信息,请访问软件更新服务 Web 站点。
Systems Management Server:
Microsoft Systems Management Server (SMS) 提供了一个用于管理更新且可高度配置的企业解决方案。 通过使用 SMS,管理员可以确定需要安全更新且基于 Windows 的系统,并在整个企业中以可控制的方式执行这些更新的部署,而只对最终用户造成最低程度的干扰。 有关管理员如何使用 SMS 2003 来部署安全更新的详细信息,请参见 SMS 2003 安全修补程序管理 Web 站点。 SMS 2.0 用户还可以使用软件更新服务功能包帮助部署安全更新。 有关 SMS 的信息,请访问 SMS Web 站点。
注意:SMS 使用 Microsoft 基准安全分析器和 Microsoft Office 检测工具,提供对安全公告更新检测和部署的广泛支持。 这些工具可能检测不到某些软件更新。 在这些情况下,管理员可以使用 SMS 的清单功能将更新部署到特定系统上。 有关这一过程的详细信息,请参见以下 Web 站点。 某些安全更新在重新启动系统后可能需要管理权限。 管理员可以使用提升权限部署工具(在 SMS 2003 管理功能包和 SMS 2.0 管理功能包中提供)来安装这些更新。
免责声明:
Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。 Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。
修订版本:
| • | V1.0(2004 年 10 月 12 日):已发布公告 |