Microsoft 安全公告 MS06-035

Server 驱动程序中存在一个远程执行代码漏洞，成功利用此漏洞的攻击者可以完全控制受影响的系统。

•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。
•	默认配置下，Microsoft Windows XP Service Pack 2 和 Microsoft Windows Server 2003 Service Pack 1 没有服务侦听邮件槽。
•	利用此漏洞的尝试最有可能导致拒绝服务情况，该情况是由受影响的系统意外重新启动造成的，而不是由远程执行代码造成的。

Top of section

Microsoft 已测试以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。 如果某种变通办法导致功能下降，下一节中将进行说明。

•

在防火墙处阻止 TCP 端口 445： 此端口用于启动与受影响组件的连接。 将 TCP 端口 445 阻止在防火墙处，有助于保护位于防火墙后面的系统尝试利用此漏洞。 我们建议阻止所有来自 Internet 的未经请求的入站通信，以帮助防止可能使用其他端口进行的攻击。 有关端口的详细信息，请访问以下网站。

•

为防止攻击者执行基于网络的尝试以利用此漏洞，请使用个人防火墙，如 Internet 连接防火墙。Windows XP 和 Windows Server 2003 附带此防火墙。 默认情况下，Windows XP 和 Windows Server 2003 中的“Internet 连接防火墙”功能会通过阻止未经请求的传入通信来帮助保护您的 Internet 连接。 我们建议您阻止所有来自 Internet 的非法传入通信。 在 Windows XP Service Pack 2 中，此功能叫做 Windows 防火墙。 要使用网络安装向导启用 Internet 连接防火墙功能，请按照以下步骤进行操作： 1. 单击“开始”，然后单击“控制面板”。 2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“设置或更改您的家庭或小型办公网络”。 在“网络安装向导”中将系统配置为直接连接至 Internet 后，就启用了 Internet 连接防火墙功能。 要为连接手动配置 Internet 连接防火墙，请按照以下步骤进行操作： 1. 单击“开始”，然后单击“控制面板”。 2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“网络连接”。 3. 右键单击要启用“Internet 连接防火墙”的连接，然后单击“属性”。 4. 单击“高级”选项卡。 5. 单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络”复选框，然后单击“确定”。 注意 如果要通过防火墙启用某些程序和服务以进行通信，请单击“高级”选项卡上的“设置”，然后选择所需的程序、协议和服务。

•	为帮助防止攻击者试图基于网络利用此漏洞，请在支持高级 TCP/IP 筛选功能的系统上启用此功能。 可以启用高级 TCP/IP 筛选功能来阻止所有非法入站通信。 有关如何配置 TCP/IP 筛选功能的详细信息，请参阅 Microsoft 知识库文章 309798。
•	为帮助防止攻击者试图基于网络利用此漏洞，请通过在受影响的系统上使用 IPSec 来阻止受影响的端口。 使用 Internet 协议安全 (IPSec) 有助于保护网络通信。 有关 IPSec 以及如何应用筛选器的详细信息，请参阅 Microsoft 知识库文章 313190 和 813878。

Top of section

此漏洞的影响范围有多大？
这是一个远程执行代码漏洞。 成功利用此漏洞的攻击者可以远程完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

造成漏洞的原因是什么？
Server 服务中未经检查的缓冲区。

什么是邮件槽？
邮件槽是应用程序和进程用于促进单向数据传输的临时机制。 有关邮件槽的详细信息，请访问以下网站。

攻击者可能利用此漏洞执行什么操作？
成功利用此漏洞的攻击者可以完全控制受影响的系统。

哪些人可能会利用此漏洞？
任何可向受影响的系统传送特制网络数据包的匿名用户都可能尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可能通过创建特制的网络数据包并将其发送到受影响的系统来试图利用此漏洞。 这样，该网络数据包可能导致受影响的系统执行代码。

受此漏洞威胁最大的系统有哪些？
工作站和服务器均受此漏洞威胁。 许多应用程序和第三方程序可能正在使用邮件槽。 Messenger 和 Alerter 服务都会利用邮件槽功能。 任何使用这些服务并处于活动状态的系统均容易受到影响。 在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 2 上，这些服务没有默认设置为自动启动

是否可以通过 Internet 利用此漏洞？
是。 攻击者可能试图通过 Internet 来利用此漏洞。 采用防火墙最佳做法和标准默认防火墙配置，有助于保证免受来自 Internet 的攻击。 Microsoft 提供了关于如何帮助保护您的 PC 的信息。 最终用户可以访问保护您的 PC 网站。 IT 专业人士可以访问安全指南中心网站。

此更新有什么作用？
此更新通过修改 Server 驱动程序在将消息传递到分配的缓冲区之前验证消息长度的方式来消除此漏洞。

发布此安全公告时，此漏洞是否已公开披露？
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

Top of section

Server 服务中存在一个信息泄露漏洞，该漏洞可能允许攻击者查看在传输期间用于存储 SMB 通信的内存片段。

•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。
•	对于需要受影响组件的客户，采用防火墙最佳做法和标准的默认防火墙配置可以帮助保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。
•	在 Windows 2000、Windows XP 和 Windows Server 2003 上，攻击者必须拥有有效的登录凭据才能利用此漏洞。 匿名用户无法利用此漏洞。 但是，具有标准用户帐户的用户可远程使用受影响组件。 在某些配置中，匿名用户可能作为 Guest 帐户进行身份验证。 有关详细信息，请参阅 Microsoft 安全通报 906574。
•	采用防火墙最佳做法和标准的默认防火墙配置，有助于保护网络免受从企业外部发起的攻击。 按照最佳做法，应使连接到 Internet 的系统所暴露的端口数尽可能少。

Top of section

Microsoft 已测试以下变通办法。 尽管这些变通办法不能从根本上消除此漏洞，但它们有助于阻止已知的攻击媒介。 如果某种变通办法导致功能下降，下一节中将进行说明。

注 其他协议（如网间数据包交换 (IPX) 和顺序包交换 (SPX)）可能受此问题的影响。 如果正在使用易受攻击的协议（如 IPX 和 SPX），对这些协议阻止相应的端口也很重要。 有关 IPX 和 SPX 的详细信息，请访问以下 Microsoft 网站。

•

在防火墙处阻止 TCP 端口 139 和 445： 这些端口用于启动与受影响协议的连接。 将其阻止在防火墙处（入站和出站），有助于保护位于防火墙后面的系统免受利用此漏洞进行的攻击。 我们建议阻止所有来自 Internet 的未经请求的入站通信，以帮助防止可能使用其他端口进行的攻击。 有关端口的详细信息，请访问以下网站。

•

为防止攻击者执行基于网络的尝试以利用此漏洞，请使用个人防火墙，如 Internet 连接防火墙。Windows XP 和 Windows Server 2003 附带此防火墙。 默认情况下，Windows XP 和 Windows Server 2003 中的“Internet 连接防火墙”功能会通过阻止未经请求的传入通信来帮助保护您的 Internet 连接。 我们建议您阻止所有来自 Internet 的非法传入通信。 要使用网络安装向导启用 Internet 连接防火墙功能，请按照以下步骤进行操作： 1. 单击“开始”，然后单击“控制面板”。 2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“设置或更改您的家庭或小型办公网络”。 在“网络安装向导”中将系统配置为直接连接至 Internet 后，就启用了 Internet 连接防火墙功能。 要为连接手动配置 Internet 连接防火墙，请按照以下步骤进行操作： 1. 单击“开始”，然后单击“控制面板”。 2. 在默认的“分类视图”中，单击“网络和 Internet 连接”，然后单击“网络连接”。 3. 右键单击要启用“Internet 连接防火墙”的连接，然后单击“属性”。 4. 单击“高级”选项卡。 5. 单击以选中“通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络”复选框，然后单击“确定”。 注意 如果要通过防火墙启用某些程序和服务以进行通信，请单击“高级”选项卡上的“设置”，然后选择所需的程序、协议和服务。

•	为帮助防止攻击者试图基于网络利用此漏洞，请在支持高级 TCP/IP 筛选功能的系统上启用此功能。 可以启用高级 TCP/IP 筛选功能来阻止所有非法入站通信。 有关如何配置 TCP/IP 筛选功能的详细信息，请参阅 Microsoft 知识库文章 309798。
•	为帮助防止攻击者试图基于网络利用此漏洞，请通过在受影响的系统上使用 IPSec 来阻止受影响的端口。 使用 Internet 协议安全 (IPSec) 有助于保护网络通信。 有关 IPSec 以及如何应用筛选器的详细信息，请参阅 Microsoft 知识库文章 313190 和 813878。

Top of section

此漏洞的影响范围有多大？
这是一个信息泄露漏洞。 成功利用此漏洞的攻击者可能远程读取缓冲区中存储的关于服务器消息块通信的信息。 请注意，此漏洞不允许攻击者直接执行代码或提升他们的用户权限。 它可能用于产生有用的信息，以试图进一步损坏受影响的系统。

造成漏洞的原因是什么？
Server 协议驱动程序中未初始化的缓冲区。

什么是 SMB？
服务器消息块 (SMB) 及其后续版本公共 Internet 文件系统 (CIFS) 是 Windows 用来共享文件、打印机、串行端口以及 在计算机之间进行通信的 Internet 标准协议。 为此，SMB 使用命名管道和邮件插槽。 在网络环境中，服务器使客户端可以使用文件系统和资源。 客户端发出 SMB 资源请求。 服务器作出 SMB 响应。 可描述为客户端服务器请求-响应协议。

此漏洞同样影响 CIFS 吗？
公共 Internet 文件系统 (CIFS) 是 Internet 标准协议。 此处所述之漏洞存在于 Microsoft 的协议实施之中，而非协议本身内。

攻击者可能利用此漏洞执行什么操作？
成功利用此漏洞的攻击者可能远程查看 SMB 缓冲区的漏洞。

哪些人可能会利用此漏洞？
任何可向受影响的系统传送特制消息的匿名用户都可以尝试利用此漏洞。

攻击者能够如何利用此漏洞？
攻击者可能试图通过创建特制的消息并将其发送到受影响的系统来利用此漏洞。 然后，攻击者可以检索 SMB 缓冲区中的信息。

受此漏洞威胁最大的系统有哪些？
工作站和服务器均受到威胁。 服务器可能面临更大风险，特别是在服务器支持大量 SMB 通信的情况下。

是否可以通过 Internet 利用此漏洞？
是。 攻击者可能试图通过 Internet 来利用此漏洞。 采用防火墙最佳做法和标准默认防火墙配置，有助于保证免受来自 Internet 的攻击。 Microsoft 提供了关于如何帮助保护您的 PC 的信息。 最终用户可以访问保护您的 PC 网站。 IT 专业人士可以访问安全指南中心网站。

此更新有什么作用？
该更新通过在响应客户端请求之前初始化缓冲区来消除该漏洞。

发布此安全公告时，此漏洞是否已公开披露？
否。 Microsoft 通过可靠的披露渠道了解到有关此漏洞的信息。

在发布此安全公告时，Microsoft 是否收到任何有关此漏洞已被利用的报告？
否。 在最初发布此安全公告时，Microsoft 未收到任何表明此漏洞已被公开用于攻击客户的信息，也没有看到任何发布的概念代码证明示例。

Top of section

先决条件
此安全更新需要 Windows Server 2003 或 Windows Server 2003 Service Pack 1。

注意 Microsoft Windows Server 2003 和 Microsoft Windows Server 2003 Service Pack 1 的安全更新也适用于 Microsoft Windows Server 2003 R2。

包括在将来的 Service Pack 中：
此问题的更新程序将包含在以后的 Service Pack 或更新汇总中。

安装信息

此安全更新支持以下安装开关。

注意 这些开关可以在一个命令中组合使用。 为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的许多安装开关。 有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

部署信息

对于 Windows Server 2003，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsserver2003-kb917159-x86-enu /quiet

注意 使用 /quiet 开关将抑制所有消息。 这包括抑制失败消息。 管理员应该使用其中一种支持的方法，验证使用 /quiet 开关时安装是否成功。 管理员还应该检查 KB917159.log 文件，查看使用此开关时的任何失败消息。

对于 Windows Server 2003，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windowsserver2003-kb917159-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的信息，请访问软件更新服务网站。 有关如何使用 Windows Server 更新服务部署此安全更新的详细信息，请访问 Windows Server 更新服务网站。 此安全更新还将通过 Microsoft Update 网站提供。

重新启动要求

应用此安全更新之后，必须重新启动系统。

在包含 5.2.3790.2437 版本的 Srv.sys 文件的系统上，此安全更新支持 HotPatching。如果使用 HotPatching，您可以在运行 Microsoft Windows Server 2003 Service Pack 1 的系统上安装安全更新，而不必重新启动服务器。 有关 HotPatching 以及如何使用 HotPatching 部署安全更新的详细信息，请参阅 Microsoft 知识库文章 897341。

Windows Update、Microsoft Update 和自动更新提供的安全更新使用 HotPatching，不要求重新启动服务器。

删除信息

要删除此更新，请使用“控制面板”中的“添加/删除程序”工具。

系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB917159$\Spuninst 文件夹中。

文件信息

此安全更新的英文版具有下表所列的文件属性。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Windows Server 2003 Web Edition、Windows Server 2003 Standard Edition、Windows Server 2003 Datacenter Edition、Windows Server 2003 Enterprise Edition、Windows Small Business Server 2003、Windows Server 2003 Web Edition (SP1)、Windows Server 2003 Standard Edition (SP1)、Windows Server 2003 Enterprise Edition (SP1)、Windows Server 2003 Datacenter Edition (SP1)、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 Standard Edition、Windows Server 2003 R2 Datacenter Edition、Windows Server 2003 R2、Enterprise Edition 和 Windows Small Business Server 2003 R2：

Windows Server，2003 Enterprise Edition（用于基于 Itanium 的系统）；Windows Server 2003，Datacenter Edition（用于基于 Itanium 的系统）；Windows Server 2003，Enterprise Edition (SP1)（用于基于 Itanium 的系统）；以及 Windows Server 2003，Datacenter Edition (SP1)（用于基于 Itanium 的系统）：

Windows Server 2003 Standard x64 Edition、Windows Server 2003 Enterprise x64 Edition、Windows Server 2003 Datacenter x64 Edition、Windows Server 2003 R2 Standard x64 Edition、Windows Server 2003 R2 Enterprise x64 Edition 以及 Windows Server 2003 R2 Datacenter x64 Edition：

注意 当您安装这些安全更新时，安装程序将检查系统中正在更新的一个或多个文件是否以前已被 Microsoft 修补程序更新。

如果以前安装的修补程序已更新其中的某个文件，安装程序会将 RTMQFE、SP1QFE 或 SP2QFE 文件复制到您的系统中。 否则，安装程序将 RTMGDR、SP1GDR 或 SP2GDR 文件复制到您的系统中。 安全更新可能不包含这些文件的所有版本。 有关此问题的详细信息，请参阅 Microsoft 知识库文章 824994。

有关此问题的详细信息，请参阅 Microsoft 知识库文章 824994。

有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

验证是否已应用更新

先决条件
此安全更新需要 Microsoft Windows XP Service Pack 1 或更高版本。 有关详细信息，请参阅 Microsoft 知识库文章 322389。

包括在将来的 Service Pack 中：
此问题的更新程序将包含在以后的 Service Pack 或更新汇总中。

安装信息

此安全更新支持以下安装开关。

注意 这些开关可以在一个命令中组合使用。 为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的安装开关。 有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

部署信息

对于 Microsoft Windows XP，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windowsxp-kb917159-x86-enu /quiet

注意 使用 /quiet 开关将抑制所有消息。 这包括抑制失败消息。 管理员应该使用其中一种支持的方法，验证使用 /quiet 开关时安装是否成功。 管理员还应该检查 KB917159.log 文件，查看使用此开关时的任何失败消息。

对于 Windows XP，要安装此安全更新而不强制重新启动系统，请在命令提示符处使用以下命令：

Windowsxp-kb917159-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的信息，请访问软件更新服务网站。 有关如何使用 Windows Server 更新服务部署此安全更新的详细信息，请访问 Windows Server 更新服务网站。 此安全更新还将通过 Microsoft Update 网站提供。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用“控制面板”中的“添加或删除程序”工具。

系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB917159$\Spuninst 文件夹中。

文件信息

此安全更新的英文版具有下表所列的文件属性。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Windows XP Home Edition Service Pack 1、Windows XP Professional Service Pack 1、Windows XP Tablet PC Edition、Windows XP Media Center Edition、Windows XP Home Edition Service Pack 2、Windows XP Professional Service Pack 2、Windows XP Tablet PC Edition 2005 和 Windows XP Media Center Edition 2005：

Windows XP Professional x64：

注意 当您安装这些安全更新时，安装程序将检查系统中正在更新的一个或多个文件是否以前已被 Microsoft 修补程序更新。

如果以前安装的修补程序已更新其中的某个文件，安装程序会将 RTMQFE、SP1QFE 或 SP2QFE 文件复制到您的系统中。 否则，安装程序将 RTMGDR、SP1GDR 或 SP2GDR 文件复制到您的系统中。 安全更新可能不包含这些文件的所有版本。 有关此问题的详细信息，请参阅 Microsoft 知识库文章 824994。

有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。

有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

安全更新安装程序使用 Arpidfix.exe 来解决在 Microsoft 知识库文章 904630 中所述的问题。此文件没有安装至受影响的系统。

验证是否已应用更新

先决条件
对于 Windows 2000，此安全更新需要 Service Pack 4 (SP4)。 对于 Small Business Server 2000，此安全更新需要 Small Business Server 2000 Service Pack 1a (SP1a) 或与 Windows 2000 Server Service Pack 4 (SP4) 一起运行的 Small Business Server 2000。

已对列出的软件进行了测试，以确定这些版本是否会受到影响。 其他版本或者不再包括安全更新支持，或者可能不会受到影响。 要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期网站。

有关如何获得最新 Service Pack 的详细信息，请参阅 Microsoft 知识库文章 260910。

包括在将来的 Service Pack 中：
此问题的更新程序将包含在以后的更新汇总中。

安装信息

此安全更新支持以下安装开关。

注意 这些开关可以在一个命令中组合使用。 为了保持向后兼容，此安全更新还支持以前版本的安装程序所使用的安装开关。 有关受支持的安装开关的详细信息，请参阅 Microsoft 知识库文章 262841。有关 Update.exe 安装程序的详细信息，请访问 Microsoft TechNet 网站。 有关此公告中出现的术语详细信息（如修补程序），请参阅 Microsoft 知识库文章 824684。

部署信息

对于 Windows 2000 Service Pack 4，要在没有任何用户干预的情况下安装此安全更新，请在命令提示符处使用以下命令：

Windows2000-kb917159-x86-enu /quiet

注意 使用 /quiet 开关将抑制所有消息。 这包括抑制失败消息。 管理员应该使用其中一种支持的方法，验证使用 /quiet 开关时安装是否成功。 管理员还应该检查 KB917159.log 文件，查看使用此开关时的任何失败消息。

对于 Windows 2000 Service Pack 4，如果在安装此安全更新后不强制系统重新启动，请在命令提示符处使用以下命令：

Windows2000-kb917159-x86-enu /norestart

有关如何使用软件更新服务部署此安全更新的详细信息，请访问软件更新服务网站。 有关如何使用 Windows Server 更新服务部署此安全更新的详细信息，请访问 Windows Server 更新服务网站。 此安全更新还将通过 Microsoft Update 网站提供。

重新启动要求

应用此安全更新后，必须重新启动系统。

删除信息

要删除此安全更新，请使用“控制面板”中的“添加或删除程序”工具。

系统管理员也可以使用 Spuninst.exe 实用工具删除此安全更新。 Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB917159$\Spuninst 文件夹中。

文件信息

此安全更新的英文版具有下表所列的文件属性。 这些文件的日期和时间按照协调通用时间 (UTC) 列出。 当您查看文件信息时，它将转换为本地时间。 要了解 UTC 与本地时间之间的时差，请使用“控制面板”上的“日期/时间”工具中的“时区”选项卡。

Windows 2000 Service Pack 4 和 Small Business Server 2000：

验证是否已应用更新