Microsoft 安全公告 MS05-019

TCP/IP 中的漏洞可能允许远程执行代码和拒绝服务攻击 (893066)

发布日期： 2005 年 4 月 12 日
更新日期： 2005 年 6 月 14 日
版本： 2.0

摘要

本文的目标读者： 使用 Microsoft Windows 的客户

漏洞的影响： 远程执行代码

最高严重等级： 严重

建议： 用户应立即应用此更新。

安全更新替代： 无。

注意事项： Microsoft 知识库文章 893066 介绍了客户在安装此安全更新时可能遇到的当前已知的问题。本文还介绍了这些问题的建议解决办法。有关详细信息，请参阅 Microsoft 知识库文章 893066。

测试过的软件和安全更新下载位置：

受影响的软件：

•	Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4 – 下载此更新
•	Microsoft Windows XP Service Pack 1 和 Microsoft Windows XP Service Pack 2 – 下载此更新
•	Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) – 下载此更新 [英文]
•	Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) – 下载此更新 [英文]
•	Microsoft Windows Server 2003 – 下载此更新
•	Microsoft Windows Server 2003（用于基于 Itanium 的系统）– 下载此更新 [英文]
•	Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、Microsoft Windows Millennium Edition (ME) – 有关这些操作系统的详细信息，请查看本公告的“常见问题解答”部分。

不受影响的软件：

•	Microsoft Windows Server 2003 Service Pack 1
•	Microsoft Windows Server 2003 with SP1（用于基于 Itanium 的系统）
•	Microsoft Windows Server 2003 x64 Edition
•	Microsoft Windows XP Professional x64 Edition

已对此列表中的软件进行了测试，以确定是否这些版本会受到影响。其他版本或者不再包括安全更新支持，或者可能不会受到影响。要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期网站。

Top of section

一般信息

摘要

摘要：

此更新可消除多个公开报告和秘密报告的新发现漏洞。本公告的“漏洞详细资料”部分对每个漏洞进行了说明。

成功利用最严重的漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。但是，成功利用最严重漏洞的攻击者最有可能导致受影响系统停止响应。

我们建议用户立即应用此更新。

严重等级和漏洞标识：

漏洞标识符	漏洞的影响	Windows 98、98 SE、ME	Windows 2000	Windows XP Service Pack 1	Windows XP Service Pack 2	Windows Server 2003
IP 验证漏洞 (CAN-2005-0048)	远程执行代码	不严重	严重	严重	无	无
ICMP 连接重置漏洞 - CAN-2004-0790	拒绝服务	不严重	中等	中等	中等	中等
ICMP 路径 MTU 漏洞 - CAN-2004-1060	拒绝服务	不严重	中等	中等	中等	中等
TCP 连接重置漏洞 (CAN-2004-0230)	拒绝服务	不严重	低	低	无	低
欺骗性连接请求漏洞 - CAN-2005-0688	拒绝服务	无	无	无	低	低
所有漏洞的综合严重程度		不严重	严重	严重	中等	中等

此评估是基于以下几点作出的：受此漏洞影响的系统类型，它们的典型部署模式，以及利用此漏洞会对它们产生什么影响。

注非 x86 操作系统版本与 x86 操作系统版本的严重等级按以下方式对应：

•	Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) 的严重等级与 Windows XP Service Pack 1 的严重等级相同。
•	The Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) 的严重等级与 Windows XP Service Pack 1 的严重等级相同。
•	基于 Itanium 系统的 Microsoft Windows Server 2003 的严重等级与 Windows Server 2003 的严重等级相同。

Top of section

与此安全更新相关的常见问题解答 (FAQ)

为什么 Microsoft 在 2005 年 6 月 14 日更新此公告
Microsoft 当前更新此公告是为了告知客户已提供安全更新的修订版本。本安全公告已对成功消除了漏洞的原始安全更新作过介绍。但是，使用最初安全更新时有一个已知的网络连接问题，对特定类型的网络配置有影响。有关详细信息，请参阅 Microsoft 知识库文章 898060。

我们向客户广泛发布此重发版本，以帮助客户降低以后遇到此网络连接问题的可能性。建议您安装此修订的安全更新，即使已经安装了以前版本。修订的安全更新通过 Windows Update、软件更新服务 (SUS) 提供，并由 Microsoft Baseline Security Analyzer (MBSA) 推荐。已经安装了可解决此网络连接问题的修补程序的客户还应该安装修订的安全更新。

此更新为何消除了多个已报告的安全漏洞？
此更新之所以包含对某些漏洞的支持，是因为解决这些问题所需的修改位于相关的文件中。客户只需安装此更新就可以了，而不用安装多个几乎相同的更新。

此更新是否包含任何与安全性相关的功能更改？
是。除了本公告的“漏洞详细资料”部分所列出的更改外，此更新还包括基于受影响组件的安全审核结果的附加安全更改。更改了一些操作系统上的默认 TCPWindowSize 注册表值。引入了新的 MaxIcmpHostRoutes 注册表值来控制与“ICMP 路径 MTU”相关的行为。在安装此安全更新之前，管理员应当考虑查看 Microsoft 知识库文章 890345 和 Microsoft 知识库文章 896350 以获取详细信息。

延长对 Windows 98、Windows 98 Second Edition 和 Windows Millennium Edition 的支持对这些操作系统的安全更新发布有何影响？
Microsoft 将只针对严重的安全问题发布安全更新。在支持期内，不会为不严重的安全问题提供安全更新。有关针对这些操作系统的 Microsoft 技术支持生命周期策略的详细信息，请访问以下网站。

有关严重等级的详细信息，请访问以下网站。

Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 是否会受到此安全公告中所描述的一个或多个漏洞的严重影响？
否。这些漏洞中的任何一个都不会对 Windows 98、Windows 98 Second Edition 或 Windows Millennium Edition 造成严重影响。有关严重等级的详细信息，请访问以下网站

我仍在使用 Windows XP，但延长安全更新支持已在 2004 年 9 月 30 日结束。我该怎么办？

Windows XP 的原始版本（通常称为 Windows XP Gold 或 Windows XP Release to Manufacturing (RTM) 版本）的延长安全更新支持生命周期已在 2004 年 9 月 30 日结束。

使用此操作系统版本的客户最好迁移到受支持的操作系统版本，以防止可能会受到漏洞的影响。有关 Windows Service Pack 产品生命周期的详细信息，请访问 Microsoft 产品技术支持生命周期网站。有关 Windows 产品生命周期的详细信息，请访问 Microsoft 产品技术支持生命周期网站。

有关详细信息，请参阅 Windows 操作系统产品支持生命周期常见问题解答。

Microsoft Windows NT 4.0 Workstation Service Pack 6a 和 Windows 2000 Service Pack 2 的延长安全更新支持已在 2004 年 6 月 30 日结束。Microsoft Windows NT 4.0 Server Service Pack 6a 的延长安全更新支持已在 2004 年 12 月 31 日结束。我仍在使用其中一种操作系统，我该怎么办？

Windows NT 4.0 Workstation Service Pack 6a、Windows NT 4.0 Server Service Pack 6a 和 Windows 2000 Service Pack 2 已经到达其生命周期的末尾。使用这些操作系统版本的客户应优先考虑迁移到受支持的版本，以防止可能会受到新出现漏洞的影响。有关 Windows 产品生命周期的详细信息，请访问以下 Microsoft 产品技术支持生命周期网站。有关这些操作系统版本的延长安全更新支持周期的详细信息，请访问 Microsoft 产品支持服务网站。

如果客户需要获得额外的 Windows NT 4.0 SP6a 支持，则必须与其 Microsoft 客服小组代表、其技术客户经理或相应的 Microsoft 合作伙伴代表联系以了解定制支持选项。没有联合合同、优先支持合同或授权合同的客户可与其当地的 Microsoft 销售分支机构联系。有关联系信息，请访问 Microsoft Worldwide Information 网站，选择所在国家/地区，然后单击“Go”以查看电话号码列表。在打电话时，请找当地“优先支持”销售经理进行洽谈。

有关详细信息，请参阅 Windows 操作系统产品支持生命周期常见问题解答。

可否使用 Microsoft Baseline Security Analyzer (MBSA) 确定是否需要此更新？
是。 MBSA 可以确定是否需要此更新。有关 MBSA 的详细信息，请访问 MBSA 网站。

可否使用 Systems Management Server (SMS) 确定是否需要此更新？
是。 SMS 可以帮助您检测和部署此安全更新。有关 SMS 的信息，请访问 SMS 网站。检测 Microsoft Windows 及其他受影响的 Microsoft 产品需要 Security Update Inventory Tool。有关 Security Update Inventory Tool 的限制的详细信息，请参阅 Microsoft 知识库文章 306460

Top of section

漏洞详细资料

IP 验证漏洞 - CAN-2005-0048：

存在远程执行代码漏洞，该漏洞可能允许攻击者向受影响的系统发送特制的 IP 消息。成功利用此漏洞的攻击者可能导致受影响的系统远程执行代码。但是，利用此漏洞的尝试最有可能导致拒绝服务。

IP 验证漏洞 (CAN-2005-0048) 的缓解因素：

•	这种攻击需要路由器转发格式错误的 IP 网络数据包。大多数路由器将不会转发这些格式错误的 IP 网络数据包。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。允许指向 Internet 的 IP 连接的受影响系统容易受到此问题的攻击。
•	如果启用，Internet 连接防火墙在 Windows XP Service Pack 1 上可减轻此漏洞的影响。Windows XP Service Pack 2 和 Windows Server 2003 不容易出现此问题。

Top of section

IP 验证漏洞 (CAN-2005-0048) 的变通办法：

•

ISA Server 2000 和 ISA Server 2004 可用于阻止受影响的通信类型。请参阅“ISA Server 预防措施文档”，以获取更多有关如何使用 ISA Server 减轻此漏洞影响的信息。

•

使用个人防火墙，例如Internet 连接防火墙。Windows XP Service Pack 1 附带该防火墙。

默认情况下，Windows XP Service Pack 1 中的“Internet 连接防火墙”功能会通过阻止未经请求的传入通信来帮助保护您的 Internet 连接。我们建议您阻止所有来自 Internet 的非法传入通信。

要使用“网络安装向导”启用“Internet 连接防火墙”功能，请按照以下步骤进行操作：

1.	单击“开始”，然后单击“控制面板”。
2.	在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“设置或更改您的家庭或小型办公网络”。在“网络安装向导”中将系统配置为直接连接至 Internet 后，就启用了 Internet 连接防火墙功能。

要为连接手动配置 Internet 连接防火墙，请按照以下步骤进行操作：

1.	单击“开始”，然后单击“控制面板”。
2.	在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“网络连接”。
3.	右键单击要启用“Internet 连接防火墙”的连接，然后单击“属性”。
4.	单击“高级”选项卡。
5.	单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络”复选框，然后单击“确定”。

注如果要通过防火墙启用某些程序和服务以进行通信，请单击“高级”选项卡上的“设置”，然后选择所需的程序、协议和服务。

Top of section

IP 验证漏洞 (CAN-2005-0048) 的常见问题解答：

此漏洞的影响范围有多大？

这是一个远程执行代码漏洞。成功利用此漏洞的攻击者可以远程完全控制受影响的系统。但是，利用此漏洞的尝试最有可能导致拒绝服务。利用此漏洞的攻击者可能会导致受影响系统停止响应、自动重新启动。在此期间，受影响的系统无法响应请求。

造成漏洞的原因是什么？
受影响的操作系统未能执行完整的 IP 网络数据包验证。

什么是 IP？
Internet 协议 (IP) 是 TCP/IP 协议集的一部分。 TCP/IP 是一套在 Internet 上广泛应用的网络协议。 TCP/IP 在相互连接的计算机网络间提供通信，这些计算机有着不同的硬件结构并运行了不同的操作系统。 TCP/IP 包含了计算机通信的标准及网络连接和路由通信的惯例。有关 TCP/IP 的详细信息，请访问下列 Microsoft 网站。

攻击者可能利用此漏洞执行什么操作？
成功利用此漏洞的攻击者可以完全控制受影响的系统。但是，利用此漏洞的攻击者最有可能导致受影响的系统停止响应并自动重新启动。

哪些人可能会利用此漏洞？
任何可向受影响的系统传送特制消息的匿名用户都可以尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可以通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。然后，该消息可能导致受影响的系统执行代码或停止响应。

受此漏洞威胁最大的系统有哪些？
Windows 2000 和 Windows XP Service Pack 1 受此漏洞威胁最大。 Windows XP Service Pack 2 和 Windows Server 2003 提供了附加验证以预防此漏洞。

是否可以通过 Internet 利用此漏洞？
是。攻击者可能试图通过 Internet 来利用此漏洞。但是，这种攻击需要路由器转发格式错误的 IP 网络数据包。大多数路由器将不会转发这些格式错误的 IP 网络数据包。

此更新有什么作用？
此更新通过修改受影响的操作系统验证 IP 请求的方式来消除此漏洞。

发布此安全公告时，此漏洞是否已公开披露？
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已公开披露的信息。

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

Top of section

ICMP 连接重置漏洞 - CAN-2004-0790：

拒绝服务漏洞的存在，让攻击者可由此向受影响系统发送特制的网际消息控制协议 (ICMP) 消息。成功利用此漏洞的攻击者可能会导致受影响系统重置现有的 TCP 连接。

ICMP 连接重置漏洞 (CAN-2004-0790) 的缓解因素：

•	采用防火墙最佳做法和防火墙或禁止所有 ICMP 通信的路由器配置，可以帮助网络免受企业外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。
•	对于试图利用此漏洞的攻击者，它们必须首先预测或了解来源或现有 TCP 网络连接的 IP 地址或端口信息。
•	这种攻击必须在每个 TCP 连接上执行，以使其被重置。许多应用程序将自动还原被重置的连接。

Top of section

ICMP 连接重置漏洞 (CAN-2004-0790) 的变通办法：

Microsoft 已测试过以下变通办法。尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。如果某种变通办法导致功能下降，下一节中将进行说明。

•

在防火墙或路由器处禁止所有 ICMP 网络数据包：

ICMP 网络数据包可用于启动受影响组件的连接。将其阻止在防火墙或路由器处，有助于保护位于防火墙或路由器后面的系统免受利用此漏洞进行的攻击。我们建议您阻止所有来自 Internet 的非法入站通信。 ISA Server 2000 和 ISA Server 2004 可用于阻止受影响的通信类型。

变通办法的影响： 此变通办法也防止 TCP 优化网络通信，可能给性能带来负面影响。在连接具有不同 MTU 的网络的路由器中，ICMP 网络数据能够消除拆分。拆分会降低 TCP 吞吐量并增加网络拥塞。

•

在受影响系统上使用 IPSec 阻止 ICMP 通信。

使用 Internet 协议安全 (IPSec) 有助于保护网络通信。有关 IPSec 以及如何应用筛选器的详细信息，请参阅 Microsoft 知识库文章 313190 和 813878。

Top of section

ICMP 连接重置漏洞 (CAN-2004-0790) 的常见问题解答：

此漏洞的影响范围有多大？

拒绝服务漏洞的存在，让攻击者可由此向受影响系统发送特制的 ICMP 消息。成功利用此漏洞的攻击者可能会导致受影响系统重置现有的 TCP 连接。这样就不得不重新创建那些连接以继续正常通信。请注意，攻击者无法利用拒绝服务漏洞来执行代码或提升他们的用户权限。

造成漏洞的原因是什么？
在允许攻击者发送可能导致现有连接重置的格式错误数据包的某些情况下，受影响消息没有被忽略。

什么是 TCP/IP？
TCP/IP 是一套在 Internet 上广泛应用的网络协议。 TCP/IP 在相互连接的计算机网络间提供通信，这些计算机有着不同的硬件结构并运行了不同的操作系统。 TCP/IP 包含了计算机通信的标准及网络连接和路由通信的惯例。有关 TCP/IP 的详细信息，请访问下列 Microsoft 网站。

什么是 ICMP？
Internet 控制消息协议 (ICMP) 是 RFC 792“Internet 控制消息协议 (ICMP)”中定义的一项必需的 TCP/IP 标准。使用 IP 通信的主机和路由器可以报告错误并使用 ICMP 交换有限控制和状态信息。

ICMP 消息通常在下列情况下自动发送：

•	IP 数据报无法到达其目的地。
•	IP 路由器（网关）无法以当前的传输率转发数据报。
•	IP 路由器将发送主机重定向到一个到达目标的更好的路由器。

您可以使用 ping 命令来发送 ICMP 回显请求消息并记录 ICMP 回显答复消息接收。使用这些消息，您可以检测网络或主机通信失败并解决常见 TCP/IP 连接性问题。有关 ICMP 的详细信息，请访问下列 Microsoft 网站。

攻击者可能利用此漏洞执行什么操作？
利用此漏洞的攻击者可能会导致受影响系统重置 TCP 连接。

哪些人可能会利用此漏洞？
任何可向受影响的系统传送特制消息的匿名用户都可以尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可以通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。这样，这些消息可能导致受影响系统重置网络连接。

受此漏洞威胁最大的系统有哪些？
这一漏洞对所有受影响的操作系统都构成威胁。但是，由于服务器维持着与客户机的连接，易受连接重置的影响，所以服务器最容易受到此漏洞的威胁。

是否可以通过 Internet 利用此漏洞？
是。攻击者可能试图通过 Internet 来利用此漏洞。默认情况下，Microsoft Internet 连接防火墙 (ICF) 允许这类恶意网络数据包通过并且无法过滤它们。

此更新有什么作用？
此更新通过修改受影响的操作系统验证 ICMP 请求的方式来消除此漏洞。

发布此安全公告时，此漏洞是否已公开披露？
是。此漏洞已公开披露。已为此漏洞分配了常见漏洞和披露号码 CAN-2004-0790。此问题有一种变体，已为该变体分配了常见漏洞和披露号码 CAN-2004-0791。Microsoft 针对 CAN-2004-0790 的安全更新正好也能解决 CAN-2004-0791 问题。

Top of section

ICMP 路径 MTU 漏洞 - CAN-2004-1060：

存在“拒绝服务”漏洞，该漏洞可能允许攻击者向受影响的系统发送特制的 Internet 控制消息协议 (ICMP) 消息，这可能导致网络性能降低并可能使受影响的系统停止响应请求。

ICMP 路径 MTU 漏洞 (CAN-2004-1060) 的缓解因素：

•	采用防火墙最佳做法和防火墙或禁止所有 ICMP 通信的路由器配置，可以帮助网络免受企业外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。
•	对于试图利用此漏洞的攻击者，他们必须首先预测或了解现有 TCP 网络连接的源和目的地的 IP 地址信息。

Top of section

ICMP 路径 MTU 漏洞 (CAN-2004-1060) 的变通办法：

•

禁用最大传输单位路径发现。
通过执行以下步骤，禁用最大传输单位路径发现将防止攻击者指定可能使网络性能降低的较低 MTU 值：

注意：注册表编辑器如使用不当，可能导致必须重新安装操作系统的严重故障。 Microsoft 不保证能够解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器的风险由您自己承担。有关如何编辑注册表的信息，请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题，或查看 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表数据”帮助主题。

注意：我们建议在编辑注册表之前先对其进行备份。

1.	单击开始，单击运行，键入“regedt32”（不带双引号），然后单击确定。
2.	在注册表编辑器中，找到以下注册表项： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.	添加双字节值： EnablePMTUDiscovery。将值设置为 0。此值禁用最大传输单位路径发现。默认情况下不出现此项。
4.	要使此更改生效，必须重新启动您的系统。

变通办法的影响： 这些更改通过限制攻击者将路径 MTU 值减少为较低值的能力来防止攻击。此设置也防止 TCP 优化网络通信，可能给性能带来负面影响。此优化可在连接具有不同 MTU 的网络的路由器中消除拆分。拆分会降低 TCP 吞吐量并增加网络拥塞。有关 EnablePMTUDiscovery 的详细信息，请访问以下网站。

•

在防火墙或路由器处禁止所有 ICMP 网络数据包：

•

在受影响系统上使用 IPSec 阻止 ICMP 通信。

使用 Internet 协议安全 (IPSec) 有助于保护网络通信。有关 IPSec 以及如何应用筛选器的详细信息，请参阅 Microsoft 知识库文章 313190 和 813878。

Top of section

ICMP 路径 MTU 漏洞 (CAN-2004-1060) 的常见问题解答：

此漏洞的影响范围有多大？

存在“拒绝服务”漏洞，该漏洞可能允许攻击者向受影响的系统发送特制的 Internet 控制消息协议 (ICMP) 消息，这可能导致网络性能降低并可能使受影响的系统停止响应请求。请注意，攻击者无法利用拒绝服务漏洞来执行代码或提升他们的用户权限。

造成漏洞的原因是什么？
ICMP 最大传输单位路径发现过程允许攻击者指定可能降低网络性能的路径 MTU 值。

•	IP 数据报无法到达其目的地。
•	IP 路由器（网关）无法以当前的传输率转发数据报。
•	IP 路由器将发送主机重定向到一个到达目标的更好的路由器。

什么是最大传输单位路径发现？
最大传输单位路径 (PMTU) 发现是这样一个过程：发现可通过网络在两台主机之间发送的数据包（不进行拆分，即在传输过程中数据包不分解为多个帧）的最大大小。在 RFC 1191 中对它进行了描述。有关详细信息，请参阅 RFC 1191。有关其他信息，请参阅以下 MSDN 网站。

最大传输单位路径发现过程有什么问题？
最大传输单位路径 (PMTU) 发现允许攻击者指定可能降低其他连接的网络性能的值。在无安全保护的网络上，允许 PMTU 发现会带来风险，攻击者可能将 MTU 强制设置为非常小的值，从而使本地系统的 TCP/IP 堆栈过载。通常这种行为限于攻击者可能建立的单个连接。但是，此漏洞允许攻击者修改其他连接上的 MTU 值，这些连接超出他们自己与受影响系统的连接的范围之外。

攻击者可能利用此漏洞执行什么操作？
利用此漏洞的攻击者可能导致受影响系统网络性能降低。

哪些人可能会利用此漏洞？
任何可向受影响的系统传送特制消息的匿名用户都可以尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可以通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。然后，该消息可能导致受影响系统降低网络性能。

受此漏洞威胁最大的系统有哪些？
这一漏洞对所有受影响的操作系统都构成威胁。但是，由于服务器维持着与客户机的连接，易受性能下降的影响，所以服务器最容易受到此漏洞的威胁。

此更新有什么作用？
此更新通过将 MTU 的最小值限制为 576 字节来消除此漏洞。此更新还会修改受影响的操作系统验证 ICMP 请求的方式。

发布此安全公告时，此漏洞是否已公开披露？
是。此漏洞已公开披露。已为此漏洞分配了常见漏洞和披露号码 CAN-2004-1060。

Top of section

TCP 连接重置漏洞 - CAN-2004-0230：

拒绝服务漏洞的存在，让攻击者可由此向受影响系统发送特制的 TCP 消息。成功利用此漏洞的攻击者可能会导致受影响系统重置现有的 TCP 连接。

TCP 连接重置漏洞 (CAN-2004-0230) 的缓解因素：

•	对于试图利用此漏洞的攻击者，它们必须首先预测或了解来源或现有 TCP 网络连接的 IP 地址或端口信息。攻击者还应当预测或了解某个较困难的 TCP 网络数据包详细信息。保持长会话或具有可预测 TCP/IP 信息的协议或程序出现此问题的风险较高。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。允许指向 Internet 的 TCP 连接的受影响系统容易受到此问题的攻击。
•	这种攻击必须在每个 TCP 连接上执行，以使其被重置。许多应用程序将自动还原被重置的连接。

Top of section

TCP 连接重置漏洞 (CAN-2004-0230) 的变通办法：

我们并未发现此漏洞的任何变通办法。

Top of section

TCP 连接重置漏洞 (CAN-2004-0230) 的常见问题解答：

此漏洞的影响范围有多大？

拒绝服务漏洞的存在，让攻击者可由此向受影响系统发送特制的 TCP 消息。成功利用此漏洞的攻击者可能会导致受影响系统重置现有的 TCP 连接。这样就不得不重新创建那些连接以继续正常通信。请注意，攻击者无法利用拒绝服务漏洞来执行代码或提升他们的用户权限。

造成漏洞的原因是什么？
在允许攻击者发送可能导致现有连接重置的格式错误 TCP 数据包的某些情况下，受影响消息没有被忽略。

攻击者可能利用此漏洞执行什么操作？
利用此漏洞的攻击者可能会导致受影响系统重置 TCP 连接。

哪些人可能会利用此漏洞？
任何可向受影响系统发送特制消息及可以了解或预测必需的 TCP 详细信息的匿名用户均可以尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可以通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。该消息可能导致受影响的系统重置 TCP 连接。

对于试图利用此漏洞的攻击者，他们必须首先预测或了解现有 TCP 网络连接的源和目的地的 IP 地址信息和端口信息。攻击者还应当预测或了解某个较困难的 TCP 网络数据包详细信息。

受此漏洞威胁最大的系统有哪些？
这一漏洞对所有受影响的操作系统都构成威胁。但是，由于服务器维持着与客户机的连接，易受连接重置的影响，所以服务器最容易受到此漏洞的威胁。维护长会话或具有可预测 TCP/IP 信息的协议或程序出现此问题的风险较高。

是否可以通过 Internet 利用此漏洞？
是。攻击者可能试图通过 Internet 来利用此漏洞。

此更新有什么作用？
此更新通过修改受影响的操作系统验证 TCP 请求的方式来消除此漏洞。

发布此安全公告时，此漏洞是否已公开披露？
是。此漏洞已公开披露。已为此漏洞分配了常见漏洞和披露号码 CAN-2004-0230。

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。在最初发布此安全公告时，Microsoft 看到了公开发布的概念证明代码示例，但未收到任何表明此漏洞已被公开用于攻击客户的信息。

应用此安全更新是否有助于防止客户运行已公开发布的试图利用此漏洞的代码？
是。此安全更新针对已公开发布的概念证明代码。已为消除的漏洞分配了常见漏洞和披露号码 CAN-2004-0230。

Top of section

欺骗性连接请求漏洞 - CAN-2005-0688：

拒绝服务漏洞的存在，让攻击者可由此向受影响系统发送特制的 TCP/IP 消息。成功利用此漏洞的攻击者可能会导致受影响系统停止响应。

欺骗性连接请求漏洞 (CAN-2005-0688) 的缓解因素：

•	在处理完恶意数据包之后，受影响的系统可能照常工作。
•	此种攻击需要路由器转发格式错误的 TCP/IP 网络数据包才能发生。大多数路由器将不会转发这些格式错误的 TCP/IP 网络数据包。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。允许指向 Internet 的 IP 连接的受影响系统容易受到此问题的攻击。
•	启用了 SynAttackProtect 注册表值的 Windows Server 2003 系统不容易受到此问题的影响。有关启用此注册表值的信息，请参阅此漏洞的“变通办法”部分。此注册表值不保护其他受影响的操作系统。

Top of section

欺骗性连接请求漏洞 (CAN-2005-0688) 的变通办法：

•	ISA Server 2000 和 ISA Server 2004 可用于阻止受影响的通信类型。请参阅“ISA Server 预防措施文档”，以获取更多有关如何使用 ISA Server 减轻此漏洞影响的信息。
•	在 Windows Sever 2003 上启用 SynAttackProtect 注册表值将缓解此漏洞的影响。启用了此注册表值的 Windows Server 2003 系统不容易受到此问题的影响。 Microsoft 建议客户启用此注册表值。有关如何启用此注册表值的信息，请访问以下 Microsoft 网站。此注册表值不保护其他受影响的操作系统。

Top of section

欺骗性连接请求漏洞 (CAN-2005-0688) 的常见问题解答：

此漏洞的影响范围有多大？

这是一个拒绝服务漏洞。利用此漏洞的攻击者可能导致受影响系统在限定时间内停止响应。在此期间，受影响的系统无法响应请求。请注意，虽然攻击者无法利用拒绝服务漏洞来执行代码或提升他们的用户权限，但此漏洞可能导致受影响的系统停止接受请求。

造成漏洞的原因是什么？
受影响操作系统未能执行完整的 TCP/IP 网络数据包验证。当使用与目的地 Internet 协议 (IP) 地址和端口相同的欺骗性 IP 地址和端口号接收传输控制协议 (TCP) SYN 数据包时，出现此漏洞。此漏洞的影响就象主机发送数据包给自己。如果这种攻击成功，将创建一个循环并使用额外的计算机 CPU 时间。

攻击者可能利用此漏洞执行什么操作？
利用此漏洞的攻击者可能会导致受影响系统停止响应。

哪些人可能会利用此漏洞？
任何可向受影响的系统传送特制消息的匿名用户都可以尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可以通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。这样，这些消息可能导致受影响的系统停止响应。

受此漏洞威胁最大的系统有哪些？
Windows XP Service Pack 2 和 Windows Server 2003 受此漏洞威胁最大。之前的操作系统版本系统不容易受到此问题的影响。

是否可以通过 Internet 利用此漏洞？
是。攻击者可能试图通过 Internet 来利用此漏洞。不过，此种攻击需要路由器转发格式错误的 TCP/IP 网络数据包才能发生。大多数路由器将不会转发这些格式错误的 TCP/IP 网络数据包。

此更新有什么作用？
此更新通过修改受影响的操作系统验证 TCP/IP 请求的方式来消除此漏洞。

发布此安全公告时，此漏洞是否已公开披露？
是。此漏洞已公开披露。已为此漏洞分配了常见漏洞和披露号码 CAN-2005-0688。大型安全社区还将它命名为“Land Attack”。

应用此安全更新是否有助于防止客户运行已公开发布的试图利用此漏洞的代码？
是。此安全更新解决已发布概念代码的现有证据所证实的漏洞。

Top of section

安全更新信息

受影响的软件：

有关您的受影响软件的特定安全更新信息，请单击相应的链接：

Windows Server 2003（所有版本）

先决条件
此安全更新需要 Windows Server 2003 的发布版本。

包括在将来的 Service Pack 中：
此问题的更新将包含在 Windows Server 2003 Service Pack 1 中。

安装信息

此安全更新支持以下安装开关：

受支持的安全更新安装开关
开关	描述
/help	显示命令行选项
安装模式
/passive	无人参与安装模式。无需用户交互操作，但会显示安装状态。如果安装结束时需要重新启动，将显示一个带有计时器的对话框，警告计算机将在 30 秒后重新启动。
/quiet	安静模式 — 与无人参与模式相同，但不显示状态或错误消息。
重新启动选项
/norestart	安装完成后不重新启动
/forcerestart	安装后重新启动计算机，且在关机时强制其他应用程序关闭而不先保存打开的文件。
/warnrestart[:x]	显示一个带有计时器的对话框，警告计算机将在 x 秒后重新启动。（默认值为 30 秒）。与 /quiet 或 /passive 开关一起使用。
/promptrestart	显示提示本地用户允许重新启动的对话框
特殊选项
/overwriteoem	不经提示即改写 OEM 文件
/nobackup	不备份卸载所需的文件
/forceappsclose	在计算机关机时强制关闭其他程序
/log:path	允许重定向安装日志文件
/integrate:path	将更新集成到位于指定路径的 Windows 源文件中
/extract[:path]	提取文件而不启动安装程序
/ER	启用扩展错误报告功能
/verbose	启用详细日志记录。在安装期间，创建 %Windir%\CabBuild.log。此日志详述了被复制的文件。使用此开关可能导致安装过程变慢。

注这些开关可以在一个命令中组合使用。为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的安装开关。有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

部署信息

对于 Windows Server 2003，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsserver2003-kb893066-v2-x86-enu /quiet

对于 Windows Server 2003，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windowsserver2003-kb893066--v2-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的信息，请访问软件更新服务网站。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此更新，请使用“控制面板”中的“添加/删除程序”工具。

系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB893066$\Spuninst 文件夹中。 Spuninst.exe 实用工具支持以下安装开关：

受支持的 Spuninst.exe 开关
开关	描述
/help	显示命令行选项
安装模式
/passive	无人参与安装模式。无需用户交互操作，但会显示安装状态。如果安装结束时需要重新启动，将显示一个带有计时器的对话框，警告计算机将在 30 秒后重新启动。
/quiet	安静模式 — 与无人参与安装模式相同，但不显示状态或错误消息。
重新启动选项
/norestart	安装完成后不重新启动
/forcerestart	安装后重新启动计算机，且在关机时强制其他应用程序关闭而不先保存打开的文件。
/warnrestart[:x]	显示一个带有计时器的对话框，警告计算机将在 x 秒后重新启动。（默认值为 30 秒）。与 /quiet 或 /passive 开关一起使用。
/promptrestart	显示提示本地用户允许重新启动的对话框
特殊选项
/forceappsclose	在计算机关机时强制关闭其他程序

文件信息

此安全更新的英文版具有下表所列的文件属性。这些文件的日期和时间以协调世界时 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Windows Server 2003 Web Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition 和 Windows Small Business Server 2003：

文件名	版本	日期	时间	大小	文件夹
Tcpip.sys	5.2.3790.336	2005 年 5 月 25 日	19:08	335,360	RTMGDR
Tcpip.sys	5.2.3790.336	2005 年 5 月 25 日	19:21	336,896	RTMQFE

Windows Server 2003 Enterprise Edition（用于基于 Itanium 的系统）和 Windows Server 2003 Datacenter Edition（用于基于 Itanium 的系统）：

文件名	版本	日期	时间	大小	CPU	文件夹
Tcpip.sys	5.2.3790.336	2005 年 5 月 25 日	18:58	973,824	IA-64	RTMGDR
Tcpip.sys	5.2.3790.336	2005 年 5 月 25 日	19:10	977,920	IA-64	RTMQFE

注当您在 Windows Server 2003 上安装此安全更新时，安装程序会查看您系统上正在更新的一个或多个文件以前是否已由 Microsoft 修补程序更新。如果之前已安装了修补程序以更新某个受影响的文件，安装程序就会将 RTMQFE 文件复制到系统中。否则，安装程序将 RTMGDR 文件复制到系统中。

有关此问题的详细信息，请参阅 Microsoft 知识库文章 824994。

有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

验证是否已应用更新

•

Microsoft Baseline Security Analyzer

要验证受影响的系统上是否应用了安全更新，可以使用 Microsoft Baseline Security Analyzer (MBSA) 工具。管理员可以使用 MBSA ，在本地和远程系统中扫描缺少的安全更新和常见的安全配置错误。有关 MBSA 的详细信息，请访问 Microsoft Baseline Security Analyzer 网站。

•

文件版本验证

注由于 Microsoft Windows 有多个版本，因此以下步骤在您的计算机上可能会有所不同。如果不同，请参阅产品文档来完成这些步骤。

1.	单击“开始”，然后单击“搜索”。
2.	在“搜索结果”窗格中，单击“搜索助理”下的“所有文件和文件夹”。
3.	在“完整或部分文件名”框中，键入相应文件信息表中的一个文件名，然后单击“搜索”。
4.	在文件列表中，用鼠标右键单击相应文件信息表中的一个文件名，然后单击“属性”。注取决于安装的操作系统或程序的版本，文件信息表中所列的某些文件可能并未安装。
5.	在“版本”选项卡上，通过将计算机上安装的文件与相应文件信息表中记录的版本进行比较来确定该文件的版本。注在安装过程中，除文件版本以外的其他属性均可能会发生变化。不支持通过将其他文件属性与文件信息表中的信息进行比较这种方法来验证是否应用了更新。另外，在某些情况下，在安装过程中还可能会重命名文件。如果没有文件或版本信息，请使用另外一种方法来验证更新安装。

•

注册表项验证

也可以通过查看以下注册表项，检查此安全更新已安装的文件。

Windows Server 2003 Web Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Datacenter Edition、Windows Small Business Server 2003、Windows Server 2003 Enterprise Edition（用于基于 Itanium 的系统）和 Windows Server 2003 Datacenter Edition（用于基于 Itanium 的系统）：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB893066\Filelist

注如果安装了初始版本，则此注册表项可能不包含此安全更新修订版本的更新的信息。有关详细信息，请参阅 Microsoft 知识库文章 XXXX。

注此注册表项可能不包含已安装文件的完整列表。另外，如果管理员或 OEM 将 893066 安全更新集成或组合到 Windows 安装源文件中，则可能无法正确创建此注册表项。

Top of section

Windows XP（所有版本）

先决条件
此安全更新需要 Microsoft Windows XP Service Pack 1 或更高版本。有关详细信息，请参阅 Microsoft 知识库文章 322389。

包括在将来的 Service Pack 中：
此问题的更新程序将包含在以后的 Service Pack 或更新汇总中。

安装信息

此安全更新支持以下安装开关：

受支持的安全更新安装开关
开关	描述
/help	显示命令行选项
安装模式
/passive	无人参与安装模式。无需用户交互操作，但会显示安装状态。如果安装结束时需要重新启动，将显示一个带有计时器的对话框，警告计算机将在 30 秒后重新启动。
/quiet	安静模式 — 与无人参与模式相同，但不显示状态或错误消息。
重新启动选项
/norestart	安装完成后不重新启动
/forcerestart	安装后重新启动计算机，且在关机时强制其他应用程序关闭而不先保存打开的文件。
/warnrestart[:x]	显示一个带有计时器的对话框，警告计算机将在 x 秒后重新启动。（默认值为 30 秒）。与 /quiet 或 /passive 开关一起使用。
/promptrestart	显示提示本地用户允许重新启动的对话框
特殊选项
/overwriteoem	不经提示即改写 OEM 文件
/nobackup	不备份卸载所需的文件
/forceappsclose	在计算机关机时强制关闭其他程序
/log:path	允许重定向安装日志文件
/integrate:path	将更新集成到位于指定路径的 Windows 源文件中
/extract[:path]	提取文件而不启动安装程序
/ER	启用扩展错误报告功能
/verbose	启用详细日志记录。在安装期间，创建 %Windir%\CabBuild.log。此日志详述了被复制的文件。使用此开关可能导致安装过程变慢。

部署信息

对于 Microsoft Windows XP，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsxp-kb893066-v2-x86-enu /quiet

对于 Windows XP，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windowsxp-kb893066-v2-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的信息，请访问软件更新服务网站。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用“控制面板”中的“添加/删除程序”工具。

受支持的 Spuninst.exe 开关
开关	描述
/help	显示命令行选项
安装模式
/passive	无人参与安装模式。无需用户交互操作，但会显示安装状态。如果安装结束时需要重新启动，将显示一个带有计时器的对话框，警告计算机将在 30 秒后重新启动。
/quiet	安静模式 — 与无人参与安装模式相同，但不显示状态或错误消息。
重新启动选项
/norestart	安装完成后不重新启动
/forcerestart	安装后重新启动计算机，且在关机时强制其他应用程序关闭而不先保存打开的文件。
/warnrestart[:x]	显示一个带有计时器的对话框，警告计算机将在 x 秒后重新启动。（默认值为 30 秒）。与 /quiet 或 /passive 开关一起使用。
/promptrestart	显示提示本地用户允许重新启动的对话框
特殊选项
/forceappsclose	在计算机关机时强制关闭其他程序

文件信息

Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition、Windows XP Media Center Edition、Windows XP Home Edition Service Pack 2、Windows XP Professional Service Pack 2、Windows XP Tablet PC Edition 2005 和 Windows XP Media Center Edition 2005：

文件名	版本	日期	时间	大小	文件夹
Tcpip.sys	5.1.2600.1693	2005 年 5 月 25 日	19:41	339,968	SP1QFE
Tcpip.sys	5.1.2600.2685	2005 年 5 月 25 日	19:04	359,808	SP2GDR
Tcpip.sys	5.1.2600.2685	2005 年 5 月 25 日	19:07	359,936	SP2QFE

Windows XP 64-Bit Edition Service Pack 1 (Itanium)：

文件名	版本	日期	时间	大小	CPU
Tcpip.sys	5.1.2600.1693	2005 年 5 月 25 日	19:30	1,110,912	IA-64

Windows XP 64-Bit Edition Version 2003 (Itanium)：

文件名	版本	日期	时间	大小	CPU	文件夹
Tcpip.sys	5.2.3790.336	2005 年 5 月 25 日	18:58	973,824	IA-64	RTMGDR
Tcpip.sys	5.2.3790.336	2005 年 5 月 25 日	19:10	977,920	IA-64	RTMQFE

注 Windows XP 安全更新打包为双模式程序包。双模式程序包包含适用于 Windows XP Service Pack 1 (SP1) 原始版本的文件和适用于 Windows XP Service Pack 2 (SP2) 的文件。

有关双模式程序包的详细信息，请参阅 Microsoft 知识库文章 328848。

当您安装这些安全更新时，安装程序将检查系统上正在更新的一个或多个文件是否以前被 Microsoft 修补程序更新过。
如果之前已安装了修补程序用于更新受影响的文件，则将视您的操作系统而出现下列情况之一：

•	Windows XP SP2 安装程序将 SP2QFE 文件复制到系统中。
•	Windows XP 64-Bit Edition Version 2003 (Itanium) 安装程序将 RTMQFE 文件复制到系统中。

如果之前已安装了修补程序用以更新某个受影响的文件，则将视您的操作系统而出现下列情况之一：

•	Windows XP SP2 安装程序将 SP2GDR 文件复制到系统中。
•	Windows XP 64-Bit Edition Version 2003 (Itanium) 安装程序将 RTMGDR 文件复制到系统中。

有关此问题的详细信息，请参阅 Microsoft 知识库文章 824994。

有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

注对于 Windows XP 64-Bit Edition Version 2003 (Itanium)，此安全更新与 Windows Server 2003（适用于基于 Itanium 的系统）的安全更新相同。

验证是否已应用更新

•

Microsoft Baseline Security Analyzer

•

文件版本验证

注由于 Microsoft Windows 有多个版本，因此以下步骤在您的计算机上可能会有所不同。如果不同，请参阅产品文档来完成这些步骤。

1.	单击“开始”，然后单击“搜索”。
2.	在“搜索结果”窗格中，单击“搜索助理”下的“所有文件和文件夹”。
3.	在“完整或部分文件名”框中，键入相应文件信息表中的一个文件名，然后单击“搜索”。
4.	在文件列表中，用鼠标右键单击相应文件信息表中的一个文件名，然后单击“属性”。注取决于安装的操作系统或程序的版本，文件信息表中所列的某些文件可能并未安装。
5.	在“版本”选项卡上，通过将计算机上安装的文件与相应文件信息表中记录的版本进行比较来确定该文件的版本。注在安装过程中，除文件版本以外的其他属性均可能会发生变化。不支持通过将其他文件属性与文件信息表中的信息进行比较这种方法来验证是否应用了更新。另外，在某些情况下，在安装过程中还可能会重命名文件。如果没有文件或版本信息，请使用另外一种方法来验证更新安装。

•

注册表项验证

也可以通过查看以下注册表项，检查此安全更新已安装的文件。

对于 Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition、Windows XP Media Center Edition、Windows XP Home Edition Service Pack 2、Windows XP Professional Service Pack 2、Windows XP Tablet PC Edition 2005 和 Windows XP Media Center Edition 2005：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB893066\Filelist

对于 Windows XP 64-Bit Edition Version 2003 (Itanium)：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB893066\Filelist

注如果安装了初始版本，则这些注册表项可能不包含此安全更新修订版本的更新的信息。有关详细信息，请参阅 Microsoft 知识库文章 XXXX。

注这些注册表项可能不包含已安装文件的完整列表。另外，如果管理员或 OEM 将 893066 安全更新集成或组合到 Windows 安装源文件中，可能无法正确创建这些注册表项。

Top of section

Windows 2000（所有版本）

先决条件
对于 Windows 2000，此安全更新要求 Service Pack 3 (SP3) 或 Service Pack 4 (SP4)。对于 Small Business Server 2000，此安全更新需要 Small Business Server 2000 Service Pack 1a 或与 Windows 2000 Server Service Pack 4 一起运行的 Small Business Server 2000。

已对列出的软件进行了测试，以确定这些版本是否会受到影响。其他版本或者不再包括安全更新支持，或者可能不会受到影响。要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期网站。

有关如何获得最新 Service Pack 的详细信息，请参阅 Microsoft 知识库文章 260910。

包括在将来的 Service Pack 中：
此问题的更新程序将包含在以后的更新汇总中。

安装信息

此安全更新支持以下安装开关：

受支持的安全更新安装开关
开关	描述
/help	显示命令行选项
安装模式
/passive	无人参与安装模式。无需用户交互操作，但会显示安装状态。如果安装结束时需要重新启动，将显示一个带有计时器的对话框，警告计算机将在 30 秒后重新启动。
/quiet	安静模式 — 与无人参与模式相同，但不显示状态或错误消息。
重新启动选项
/norestart	安装完成后不重新启动
/forcerestart	安装后重新启动计算机，且在关机时强制其他应用程序关闭而不先保存打开的文件。
/warnrestart[:x]	显示一个带有计时器的对话框，警告计算机将在 x 秒后重新启动。（默认值为 30 秒）。与 /quiet 或 /passive 开关一起使用。
/promptrestart	显示提示本地用户允许重新启动的对话框
特殊选项
/overwriteoem	不经提示即改写 OEM 文件
/nobackup	不备份卸载所需的文件
/forceappsclose	在计算机关机时强制关闭其他程序
/log:path	允许重定向安装日志文件
/integrate:path	将更新集成到位于指定路径的 Windows 源文件中
/extract[:path]	提取文件而不启动安装程序
/ER	启用扩展错误报告功能
/verbose	启用详细日志记录。在安装期间，创建 %Windir%\CabBuild.log。此日志详述了被复制的文件。使用此开关可能导致安装过程变慢。

注这些开关可以在一个命令中组合使用。为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的安装开关。有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

部署信息

对于 Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windows2000-kb893066-v2-x86-enu /quiet

对于 Windows 2000 Service Pack 3 和 Windows 2000 Service Pack 4，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windows2000-kb893066-v2-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的详细信息，请访问软件更新服务网站。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用“控制面板”中的“添加/删除程序”工具。

受支持的 Spuninst.exe 开关
开关	描述
/help	显示命令行选项
安装模式
/passive	无人参与安装模式。无需用户交互操作，但会显示安装状态。如果安装结束时需要重新启动，将显示一个带有计时器的对话框，警告计算机将在 30 秒后重新启动。
/quiet	安静模式 — 与无人参与安装模式相同，但不显示状态或错误消息。
重新启动选项
/norestart	安装完成后不重新启动
/forcerestart	安装后重新启动计算机，且在关机时强制其他应用程序关闭而不先保存打开的文件。
/warnrestart[:x]	显示一个带有计时器的对话框，警告计算机将在 x 秒后重新启动。（默认值为 30 秒）。与 /quiet 或 /passive 开关一起使用。
/promptrestart	显示提示本地用户允许重新启动的对话框
特殊选项
/forceappsclose	在计算机关机时强制关闭其他程序

文件信息

Windows 2000 Service Pack 3、Windows 2000 Service Pack 4 和 Small Business Server 2000：

文件名	版本	日期	时间	大小
Afd.sys	5.0.2195.6687	2003 年 1 月 19 日	20:05	120,240
Msafd.dll	5.0.2195.6602	2003 年 1 月 19 日	20:05	108,816
Tcpip.sys	5.0.2195.7049	2005 年 5 月 12 日	10:25	320,176
Tdi.sys	5.0.2195.6655	2003 年 1 月 19 日	20:05	16,240
Wshtcpip.dll	5.0.2195.6601	2003 年 1 月 19 日	20:05	17,680

验证是否已应用更新

•

Microsoft Baseline Security Analyzer

•

文件版本验证

注由于 Microsoft Windows 有多个版本，因此以下步骤在您的计算机上可能会有所不同。如果不同，请参阅产品文档来完成这些步骤。

1.	单击“开始”，然后单击“搜索”。
2.	在“搜索结果”窗格中，单击“搜索助理”下的“所有文件和文件夹”。
3.	在“完整或部分文件名”框中，键入相应文件信息表中的一个文件名，然后单击“搜索”。
4.	在文件列表中，用鼠标右键单击相应文件信息表中的一个文件名，然后单击“属性”。注取决于安装的操作系统或程序的版本，文件信息表中所列的某些文件可能并未安装。
5.	在“版本”选项卡上，通过将计算机上安装的文件与相应文件信息表中记录的版本进行比较来确定该文件的版本。注在安装过程中，除文件版本以外的其他属性均可能会发生变化。不支持通过将其他文件属性与文件信息表中的信息进行比较这种方法来验证是否应用了更新。另外，在某些情况下，在安装过程中还可能会重命名文件。如果没有文件或版本信息，请使用另外一种方法来验证更新安装。

•

注册表项验证

也可以通过查看以下注册表项，检查此安全更新已安装的文件：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB??????\Filelist

注如果安装了初始版本，则此注册表项可能不包含此安全更新修订版本的更新的信息。有关详细信息，请参阅 Microsoft 知识库文章 XXXX。

Top of section

鸣谢

Microsoft 感谢下列人员或组织与我们一起致力于保护客户的利益：

•	ISS X-Force 的 Song Liu、Hongzhen Zhou 和 Neel Mehta，报告了 IP 验证漏洞 (CAN-2005-0048)。
•	Fernando Gont，来自阿根廷的 Universidad Tecnologica Nacional/Facultad Regional Haedo，在 ICMP 连接重置漏洞 (CAN-2004-0790) 和 ICMP 路径 MTU 漏洞 (CAN-2004-1060) 方面非常负责任地与我们进行了合作。
•	Qualsys，报告了 ICMP 路径 MTU 漏洞 (CAN-2004-1060)。

获取其他安全更新：

可从以下位置获得针对其他安全问题的更新：

•	Microsoft 下载中心提供了安全更新。通过搜索关键字“security_patch”，可以非常方便地找到这些更新。
•	有关客户平台的更新可从 Windows Update 网站获得。

支持：

•	美国和加拿大的客户可拨打电话 1-866-PCSAFETY，从 Microsoft 产品支持服务获得技术支持。与安全更新有关的电话支持服务是免费的。
•	其他国家（或地区）的客户可从当地的 Microsoft 分公司获得支持。与安全更新有关的支持服务不收取任何费用。有关如何就支持问题与 Microsoft 取得联系方面的详细信息，请访问国际支持网站。

安全资源：

•	Microsoft TechNet Security 网站提供了有关 Microsoft 产品安全的详细信息。
•	Microsoft Software Update Services
•	Microsoft Baseline Security Analyzer (MBSA)
•	Windows Update
•	Windows Update 目录：有关 Windows Update 目录的详细信息，请参阅 Microsoft 知识库文章 323166。
•	Office Update

Software Update Services:

通过使用 Microsoft Software Update Services (SUS)，管理员可以在基于 Windows 2000 和 Windows Server 2003 的服务器以及运行 Windows 2000 Professional 或 Windows XP Professional 的台式机系统上快速而可靠地部署最新的重要更新和安全更新。

有关如何使用软件更新服务部署此安全更新的详细信息，请访问软件更新服务网站。

Systems Management Server：

Microsoft Systems Management Server (SMS) 提供了一个用于管理更新且可高度配置的企业解决方案。通过使用 SMS，管理员可以确定需要安全更新的基于 Windows 的系统，并在整个企业中以可控制的方式执行这些更新的部署，而只对最终用户造成最低程度的干扰。有关管理员如何使用 SMS 2003 来部署安全更新的详细信息，请访问 SMS 2003 安全修补程序管理网站。 SMS 2.0 用户还可以使用 Software Updates Service Feature Pack 帮助部署安全更新。有关 SMS 的信息，请访问 SMS 网站。

注 SMS 使用 Microsoft Baseline Security Analyzer 和 Microsoft Office Detection Tool，提供对安全公告更新检测和部署的广泛支持。这些工具可能检测不到某些软件更新。在这些情况下，管理员可以使用 SMS 的清单功能将更新部署到特定系统上。有关此过程的详细信息，请访问以下网站。某些安全更新在重新启动系统后可能需要管理权限。管理员可以使用 Elevated Rights Deployment Tool（在 SMS 2003 Administration Feature Pack 和 SMS 2.0 Administration Feature Pack 中提供）安装这些更新。

免责声明：

Microsoft 知识库中的信息“按原样”提供，没有任何形式的担保。 Microsoft 不作任何明示或暗示保证，包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害，商业利润损失，或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。

修订版本：

•	V1.0（2005 年 4 月 12 日）：已发布公告
•	V1.1（2005 年 5 月 11 日）： Microsoft 当前已更新此公告，告知客户我们计划在 2005 年 6 月重新发布 MS05-019 安全更新。在此安全更新重新发布之前，遇到 Microsoft 知识库文章 898060 中所述问题的客户应按照所述指示解决此问题。如果您没有遇到此网络连接问题，我们建议您安装当前提供的安全更新，以帮助防止本安全公告中所述的漏洞。
•	V2.0（2005 年 6 月 14 日）： Microsoft 当前已更新此公告，告知客户已提供安全更新的修订版本。建议您安装此修订的安全更新，即使已经安装了以前版本。修订的安全更新通过 Windows Update、软件更新服务 (SUS) 提供，并由 Microsoft Baseline Security Analyzer (MBSA) 推荐。

返回页首