Microsoft 安全性公告 MS04-039

ISA Server 2000 及 Proxy Server 2.0 中的弱點可能會允許網際網路內容偽造 (888258)

發佈日期：2004 年 11 月 9 日
更新日期：2004 年 11 月 18 日
版本：3.0

摘要

應該閱讀此文件的對象：使用 Microsoft Proxy Server 2.0 或 Microsoft Internet Security and Acceleration (ISA) Server 2000 的客戶

弱點的影響：偽造

最高的嚴重性等級：重要

建議：客戶應該儘快安裝此更新程式。

安全性更新取代資訊：此安全性更新取代 MS03-012 中提供的安全性更新程式，包括 ISA Server 2000 及 Proxy Server 2.0 的安全性更新程式。

警告：無

已測試軟體及安全性更新下載位置：

受影響的軟體：

•

Microsoft Proxy Server 2.0 Service Pack 1– 下載更新程式

•

Microsoft Internet Security and Acceleration Server 2000 Service Pack 1 及 Microsoft Internet Security and Acceleration Server 2000 Service Pack 2 – 下載更新程式

注意：下列軟體程式含有 Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000)。使用這些軟體程式的客戶須安裝提供的 ISA Server 2000 安全性更新程式。

•	Microsoft Small Business Server 2000
•	Microsoft Small Business Server 2003 Premium Edition

不受影響的軟體：

•	Microsoft Internet Security and Acceleration (ISA) Server 2004

本清單所列出之軟體版本已經過測試以判斷是否受到影響。其他版本已不再提供安全性更新支援，或是並不會受到影響。請瀏覽 Microsoft 產品技術支援週期準則網站，以瞭解您的產品及版本的支援生命週期。

Top of section

一般資訊

提要

提要：

這個更新程式能解決一項新發現且未公開報告的弱點。本公告的＜弱點詳細資訊＞部份會提供這項弱點的相關資訊。這項弱點讓攻擊者能夠偽造信任的網際網路內容。

我們建議客戶應該儘快安裝此更新程式。

嚴重性等級和弱點識別碼：

弱點識別碼	弱點的影響	ISA Server 2000	Proxy Server 2.0
偽造弱點 - CAN-2004-0892	偽造	重要	重要

此項評估的根據包括：受弱點影響的系統類型、系統的一般部署模式，以及弱點遭利用後對系統所造成的影響。

Top of section

與本安全性更新相關的常見問題集 (FAQ)

為什麼本安全性公告於 2004 年 11 月 16 日更新？
發行安全性公告 MS04-039 後，Microsoft 發現一個會影響 ISA Server 2000 Service Pack 1 客戶的問題。舊版 ISA Sever 2000 安全性更新程式並沒有包含所有使用 ISA Server 2000 Service Pack 1 的系統需要的二進位編碼。這個問題會導致 ISA Server 2000 運作不正常。使用 ISA Server 2000 Service Pack 1 的客戶請安裝新版更新程式。使用 ISA Server 2000 Service Pack 2 的客戶如果已成功安裝舊版更新程式，則不須重新安裝此更新程式。舊版的安全性更新程式確實可防範安全性公告中述及的弱點。

舊版安全性更新程式的第二個問題則是會影響使用 Windows 2000 Service Pack 3 的客戶。舊版的安全性更新程式是設計來搭配 Windows 2000 Service Pack 4。使用 Windows 2000 Service Pack 3 的客戶請安裝新版的安全性更新程式。此版本已經過更新，可順利安裝到使用 Windows 2000 Service Pack 3 的系統中。使用 Windows 2000 Service Pack 4 與 ISA Server 2000 Service Pack 2 的客戶則不須安裝新版安全性更新程式。舊版的安全性更新程式確實可防範安全性公告中述及的弱點。

所有語言版本的 ISA Server 2000 安全性更新程式都會受上述兩個問題的影響。

為什麼本安全性公告於 2004 年 11 月 9 日更新？
發行安全性公告 MS04-039 之後，Microsoft 發現一個問題；此問題會影響部署安全性更新程式德文版的 ISA Server 2000 客戶。原先發行的 ISA Server 2000 德文版安全性更新程式必須搭配 ISA Server 2000 Service Pack 2。新的 ISA Server 2000 德文版安全性更新程式可安裝到使用 ISA Server 2000 Service Pack 1 或 ISA Server 2000 Service Pack 2 的 ISA Server 2000 系統。只有安全性更新程式德文版會受此問題的影響。舊版的安全性更新程式確實可防範安全性公告中述及的弱點。使用 ISA Server 2000 Service Pack 2 德文版的客戶如果順利安裝原先發行的安全性更新程式，則無須採取任何動作。

是否可以使用 Microsoft 基線安全性分析器 (MBSA) 來判斷是否需要此更新？
不能。 MBSA 目前尚無法偵測受影響的產品。如需有關 MBSA 目前無法偵測的程式詳細資訊，請參閱 Microsoft 知識庫文件編號 306460。如果您已安裝本安全性公告＜受影響的軟體＞部份中列出的任何程式，您可能必須手動安裝需要的更新程式。如需有關 MBSA 的詳細資訊，請參閱 MBSA 網站。

是否可以使用 Systems Management Server (SMS) 來判斷是否需要此更新？
可以。 SMS 能協助偵測及部署本安全性更新。 SMS 使用 MBSA 來進行偵測，因此 SMS 也會面臨與 MBSA 相同的限制，而無法偵測部份程式；請參閱本公告先前所述說明。雖然 SMS 無法使用 MBSA 偵測受影響的軟體，但是系統管理員可以使用 SMS 尋找受影響的檔案，並加以更新。您也可以使用 SMS 的清查與軟體發佈功能部署此更新。如需關於 SMS 的詳細資訊，請瀏覽 SMS 網站。

是否可以使用 SMS 來判斷已安裝的程式需要更新與否？
可以。如果已安裝的程式版本可能包含具有弱點的元件，SMS 可協助偵測。對於 ISA Server 2000，SMS 可以搜尋 Msphlpr.dll 檔案是否存在。更新 3.0.1200.408 版之前的所有 Msphlpr.dll 檔案版本。對於 Proxy Server 2.0 Service Pack 1，請參閱本安全性公告中＜安全性更新資訊＞部份關於 Proxy Server 2.0 Service Pack 1 的檔案資訊，瞭解完整的檔案資訊細節。

Top of section

弱點詳細資料

偽造弱點 - CAN-2004-0892：

這是存在於受影響產品內的偽造弱點，讓攻擊者能偽造信任的網際網路內容。使用者可能認為他們存取的是信任的網際網路內容，但事實上他們卻正在存取惡意的網際網路內容，例如惡意的網站。不過攻擊者首先必須引誘使用者瀏覽他們的網站，才能利用此弱點。

偽造弱點 - CAN-2004-0892 的緩和因素：

•	這項弱點不會允許攻擊者偽造 SSL 憑證。攻擊者無法使用屬於其他網域名稱的 SSL 憑證。例如，偽造的網站無法使用信任網站的 SSL 憑證和使用者建立 SSL 工作階段。如果偽造的網站嘗試這麼做，驗證會失敗，使用者也會收到警告訊息。
•	攻擊者首先必須引誘使用者檢視會造成反向對應的內容。例如，攻擊者可以使用會造成反向對應的 IP 位址，引誘使用者瀏覽他們的網站。
•	啟用允許「所有流量」到「所有目的地」的預設網站及內容規則的系統，不會受這項弱點的影響。不過，依照安全性最佳作法的建議，這項規則通常會停用，我們也不建議為了緩和這個問題而加以啟用。

Top of section

偽造弱點 - CAN-2004-0892 的因應措施：

•	將受影響軟體上的 DNS 快取大小設定為零。將 DNS 快取大小設定為零，可以有效停用受影響系統上的 DNS 快取。如此將防止受影響的軟體使用快取中可能是偽造的資料。這對於 DNS 解析效能可能會有負面的影響。只有無法套用安全性更新的系統，才應採用這種作法做為短期的因應措施。如需有關執行這個程序的詳細說明，請參閱 Microsoft 知識庫文件編號 889189。如果您懷疑系統受到這項弱點的影響，可以清除 Web Proxy 快取，移除可能為惡意的內容。 Microsoft 知識庫文件編號 889189 提供了有關執行這個程序的詳細說明。

Top of section

偽造弱點 - CAN-2004-0892 的常見問題集：

這個弱點的範圍為何？
這是一個偽造弱點。這項弱點讓攻擊者能夠偽造信任的網際網路內容。使用者可能認為他們存取的是信任的網際網路內容，但事實上他們卻正在存取惡意的網際網路內容，例如惡意的網站。不過攻擊者首先必須引誘使用者瀏覽他們的網站，才能利用此弱點。

造成這個弱點的原因為何？
受影響軟體用來快取反向對應結果的方法有問題。

什麼是反向對應？
反向對應是 DNS 中的一種查詢程序，會搜尋主機電腦 IP 位址，以尋找好記的 DNS 網域名稱。如需更多關於反向對應的資訊，請瀏覽這個網站。

受影響的產品快取反向對應的方式出了什麼問題？
Proxy Server 2.0 與 ISA Server 2000 會快取反向對應的結果，並將該結果用於正向 (正常) 對應。這種方法會假設在反向對應時收到的是有效的主機名稱。初次對特定 IP 位址執行反向對應時，攻擊者可以為本身沒有權限的網域名稱提供偽造的反向對應回應。如果使用者嘗試以攻擊者提供的網域名稱存取資源，使用者的要求會傳送到不正確的 IP 位址，而不會傳給有效的內容擁有者。

什麼是 Proxy Server 2.0？
Proxy Server 2.0 的作用是用戶端電腦通向網際網路的閘道， Proxy 伺服器通常負責擔任私人網路與網際網路之間的媒介。 Proxy Server 2.0 也會為內部使用者快取網際網路內容，以增進效能並減少輸出的網路頻寬。

什麼是 ISA Server 2000？
ISA Server 2000 提供企業防火牆與高效能的網頁快取。防火牆會規範能透過防火牆存取的資源，以及必須符合的條件，藉此保護網路。網頁快取會將經常要求的網頁內容儲存在本機，以幫助提高網路效能。 ISA Server 可以用三種模式安裝：防火牆模式、快取模式或整合模式。

防火牆模式允許系統管理員設定規則，以控制企業網路與網際網路之間的通訊，確保網路通訊安全。快取模式會將經常存取的網頁儲存在伺服器本身，以提高網路效能。在整合模式中，可以使用所有的快取及防火牆功能。

攻擊者可能會利用這項弱點採取什麼行動？
成功利用這項弱點的攻擊者可以偽造信任的網際網路內容。使用者可能認為他們存取的是信任的網際網路內容，但事實上他們卻正在存取惡意的網際網路內容，例如惡意的網站。如果攻擊者成功利用這項弱點，就可以偽造網站以及其他類型的網際網路內容。

什麼人可以利用此弱點？
任何匿名使用者只要能向使用 ISA Server 2000 或 Proxy Server 2.0 系統的用戶端顯示蓄意製作的網頁，就可能嘗試利用這項弱點。

在網頁式攻擊的案例中，攻擊者必須架設網站，其中包含嘗試利用此弱點的網頁。攻擊者並不能強制使用者造訪惡意的網站，而是引誘他們自行前往。一般的做法是設法讓使用者按一下通往攻擊者網站的連結。攻擊者也可能使用橫幅廣告或其他方式顯示惡意的網頁內容，將內容傳遞給 ISA Server 2000 或 Proxy Server 2.0 系統的用戶端。

即使攻擊者能向 ISA Server 2000 或 Proxy Server 2.0 系統的用戶端顯示惡意的網頁內容，也必須針對提出要求的 ISA Server 2000 或 Proxy Server 2.0 系統製作惡意的回應，才能偽造反向對應。

是否可以透過網際網路利用這個弱點？
可以。攻擊者可以在網際網路上利用這項弱點。

更新的作用何在？
更新程式會修改受影響產品快取反向對應結果的方式，進而移除此項弱點。

當安全性公告發行時，這項弱點是否已揭發出來？
並沒有。 Microsoft 是經由可靠的來源接獲有關這項弱點的訊息。當本安全性公告初次發行時，Microsoft 尚未接獲任何有關此弱點已被發佈出來的消息。

當本安全性公告發行時，Microsoft 是否已接獲任何消息，指出這項弱點已遭有心人士利用？
並沒有。當本安全性公告初次發行時，Microsoft 並未接到任何有關本弱點已成為公開攻擊媒介的消息，也沒有發現任何以此概念發展的程式碼公開範例。

Top of section

安全性更新資訊

安裝平台及必要條件：

如需有關您使用平台的特定安全性更新資訊，請按一下適當的連結：

ISA Server 2000 Service Pack 1、ISA Server 2000 Feature Pack 1、ISA Server 2000 Service Pack 2、Small Business Server 2000、Small Business Server 2000 Service Pack 1、Small Business Server 2003

必要條件
此安全性更新必須搭配 ISA Server Service Pack 1 (SP1)、ISA Server 2000 Feature Pack 1 或 ISA Server 2000 Service Pack 2 (SP2)

未來將包含於 Service Pack 中的內容：
此問題的更新程式將包含在以後的 Service Pack 中。

安裝資訊

這個安全性更新支援以下的安裝參數：

/help 顯示命令列選項

安裝模式

/quiet 無訊息模式 (無使用者互動，不顯示任何訊息)

/passive 自動安裝模式 (僅顯示進度列)

/uninstall 解除安裝套件

重新啟動選項

/norestart 安裝完成時不要重新開機

/forcerestart 安裝之後重新開機

特殊選項

/l 列出安裝的 Windows Hotfix 或更新的套件

/o 不先提示，直接覆寫 OEM 檔案

/n 不備份解除安裝所需的檔案

/f 當電腦關機時，強制其他程式結束

/extract 不啟動安裝程式，直接解壓縮檔案

注意：您可以在同一個命令中合併使用這些參數。為符合回溯相容性，安全性更新程式也支援舊版安裝公用程式使用的安裝參數。有關支援的安裝參數的其他資訊，請參閱 Microsoft 知識庫文件編號 262841。

部署資訊

如果要安裝安全性更新，請在 ISA Server 2000 命令提示字元使用下列命令：

Isa2000-kb888258-x86-enu.exe

重新開機需求

此更新程式不需要重新開機。安裝程式會停止所需服務，然後套用更新，再重新啟動服務。不過，如果必要的服務無法停止，或是必要的檔案正在使用中，更新程式就會要求重新開機。在此情況下，系統會出現訊息提示您重新開機。

移除資訊

如果要移除此更新程式，請使用 [控制台] 中的 [新增或移除程式] 工具。選取 [Security Update for Microsoft ISA Server 2000 (KB 888258)]，然後按一下 [新增/移除]。如果您安裝此更新時使用的是 ISA Server 2000 Service Pack 1 或 ISA Server 2000 Feature Pack 1，可以解除安裝這項更新。如果您安裝此安全性更新時使用的是 ISA Server 2000 Service Pack 1 或 ISA Server 2000 Feature Pack 1，然後又安裝 ISA Server 2000 Service Pack 2，接著解除安裝這項更新，您必須重新安裝 ISA Server 2000 Service Pack 2。

檔案資訊

本更新程式的英文版本具有下表列出 (或更新) 的檔案屬性。這些檔案的日期及時間均使用 Coordinated Universal Time (UTC)。當您檢視檔案資訊時，它會轉換為當地時間。如想知道 UTC 及當地時間的時差，請使用 [控制台] 中的 [日期和時間] 工具的 [時區] 索引標籤。

ISA Server 2000 Service Pack 1、ISA Server Feature Pack 1、ISA Server 2000 Service Pack 2、Small Business Server 2000、Small Business Server 2000 Service Pack 1、Small Business Server 2003：

日期         時間   版本        大小     檔案名稱   
----------------------------------------------------------
12-Nov-2004  07:28  3.0.1200.408   185,336  Mspadmin.exe     
12-Nov-2004  07:09  3.0.1200.408   110,072  Msphlpr.dll      
12-Nov-2004  07:09  3.0.1200.408   401,912  W3proxy.exe      
12-Nov-2004  07:09  3.0.1200.408   307,192  Wspsrv.exe

確認更新的安裝

•

檔案版本驗證

注意：由於 Microsoft Windows 的版本眾多，您電腦上實際執行的步驟可能會與此處描述的不同。如遇到不同的狀況，請參閱產品的說明文件以完成這些步驟。

1.	按一下 [開始]，然後按一下 [搜尋]。
2.	在 [搜尋結果] 窗格中，在 [搜尋小幫手] 下按一下 [所有檔案和資料夾]。
3.	在 [部份或完整的檔案名稱] 方塊中，輸入適當檔案資訊表中的檔案名稱，再按一下 [搜尋]。
4.	在檔案清單中，用滑鼠右鍵按一下所需檔案名稱 (名稱來自適當檔案資訊表)，再按 [內容]。注意：視所安裝的作業系統或程式的版本而定，檔案資訊表中列出的檔案未必會全部安裝。
5.	在 [版本] 索引標籤上，比較檔案版本與適當檔案資訊表中記錄的版本，判斷您電腦上安裝的檔案版本。注意：在安裝時，檔案版本以外的屬性可能會變更。在驗證更新程式安裝是否成功時，比對檔案資訊表中列出的其他檔案屬性並不是妥當的做法。此外，在某些情況下，檔案的名稱在安裝時可能會有所變更。如果缺少檔案或版本資訊，請採用其他可用的方法來驗證更新程式的安裝情形。

•

登錄機碼驗證

您也可以查看下列登錄機碼，確認此安全性更新程式所安裝的檔案。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Fpc\Hotfixes\SP1\408

•

您也可以按照下列步驟確認已經安裝安全性更新：

1.	按一下 [開始]，然後按一下 [設定]，再按 [控制台]。
2.	按兩下 [新增或移除程式]。
3.	如果清單中出現 [Security Update for Microsoft ISA Server 2000 (KB888258)]，表示安全性更新安裝成功。

Top of section

Proxy Server 2.0 Service Pack 1

必要條件
此安全性更新必須搭配 Proxy Server 2.0 Service Pack 1 的發行版本。

部署資訊

如果要安裝此安全性更新程式，請在命令提示字元使用下列命令：

Proxy20-KB888258-x86-enu.exe

重新開機需求

套用此安全性更新之後，您必須重新啟動系統。

移除資訊

您可以使用 [控制台] 中的 [新增或移除程式] 工具，移除 Proxy Server 2.0 Service Pack 1 安全性更新。選取 [Proxy Server 2.0 Hotfix - KB888258]，然後按一下 [新增/移除]。

檔案資訊

Proxy Server 2.0：

日期         時間   版本     大小     檔案名稱
-----------------------------------------------------
28-Oct-2004  01:18  2.0.390.16   43,280  W3pcache.dll
28-Oct-2004  01:26  2.0.390.16  192,784  W3proxy.dll
28-Oct-2004  01:18  2.0.390.16   97,040  Wspsrv.exe

注意：這些檔案的版本和 Proxy Server 2.0 Server Pack 1 檔案的版本相同。您不能使用檔案版本資訊確認安裝是否成功。

確認更新的安裝

•

檔案安裝驗證

1.	按一下 [開始]，然後按一下 [搜尋]。
2.	在 [搜尋結果] 窗格中，在 [搜尋小幫手] 下按一下 [所有檔案和資料夾]。
3.	在 [部份或完整的檔案名稱] 方塊中，輸入適當檔案資訊表中的檔案名稱，再按一下 [搜尋]。
4.	在檔案清單中，用滑鼠右鍵按一下所需檔案名稱 (名稱來自適當檔案資訊表)，再按 [內容]。注意：視所安裝的作業系統或程式的版本而定，檔案資訊表中列出的檔案未必會全部安裝。
5.	判斷安裝到系統上的檔案的建立日期與時間資訊，然後將此資訊和檔案資訊表中的日期與時間資訊加以比較。比較日期與時間資訊時，請務必將 UTC 日期與時間資訊和當地時區的日期與時間資訊之間的差距考慮在內。注意：這些檔案的版本和 Proxy Server 2.0 Server Pack 1 檔案的版本相同。您不能使用檔案版本確認安裝是否成功。

•

登錄機碼驗證

您也可以查看下列登錄機碼，確認此安全性更新程式所安裝的檔案。

對於 Proxy Server 2.0 Service Pack 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\HotFix\KB888258

Top of section

感謝

Microsoft 感謝下列人士協助我們一同保護我們的客戶：

•	Info Support 的 Martijn de Vries 與 Thomas de Klerk 分別發現和回報偽造弱點 (CAN-2004-0892)。

取得其他安全性更新：

其他安全性問題的更新可由下列位置取得：

•	安裝性更新可以從 Microsoft 下載中心取得，您也可以利用 "security_patch" 關鍵字搜尋輕易地找到安全性更新。
•	使用者平台的更新程式可以從 Windows Update 網站取得。

支援：

•	美國及加拿大地區客戶可電洽 1-866-PCSAFETY Microsoft 技術支援服務以取得技術支援。與安全性更新有關的支援電話不另外收費。
•	不同國家的客戶，可以從當地的 Microsoft 分公司取得支援。與安全性更新有關的支援電話不另外收費。如需更多關於連絡 Microsoft 技術支援的資訊，可以從世界各地技術支援網站取得。

安全性資源：

•	Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。
•	Microsoft 基線安全性分析器 (MBSA)
•	Windows Update
•	Windows Update 目錄：如需更多關於 Windows Update 目錄的資訊，請參閱 Microsoft 知識庫文件編號 323166。
•	Office Update

Systems Management Server：

Microsoft Systems Management Server (SMS) 提供了深具彈性的企業解決方案，能夠對更新程式進行方便的管理。透過 SMS，系統管理員能判斷有哪些 Windows 系統需要安全性更新，並控制更新程式在企業中的部署，同時將對使用者造成的干擾降到最低。如需更多關於系統管理員如何使用 SMS 2003 部署安全性更新的資訊，請瀏覽 SMS 2003 的安全性補充程式管理網站。 SMS 2.0 使用者也可以利用 SMS 軟體更新服務功能套件來協助部署安全性更新。如需關於 SMS 的詳細資訊，請瀏覽 SMS 網站。

注意：SMS 使用 Microsoft 基線安全性分析器及 Microsoft Office Detection Tool，為安全性公告更新的偵測及部署作業提供相當廣泛的支援。不過這些工具可能無法偵測部份的軟體更新。在這些情況中，系統管理員可以利用 SMS 的清查功能，判斷特定系統所需要的更新程式。如需更多關於這個程序的資訊，請瀏覽這個網站。某些安全性更新程式在電腦重新啟動之後，會需要系統管理員的權限。系統管理員可以用 Elevated Rights Deployment Tool (隨 SMS 2003 Administration Feature Pack 和 SMS 管理功能套件提供) 來安裝這些更新。

免責聲明：

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供，並不提供任何形式之擔保。 Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。

修訂：

•	V1.0 (2004 年 11 月 9 日)：公告發行
•	V2.0 (2004 年 11 月 9 日)：由於發行新的 ISA Server 2000 德文版安全性更新程式，因此更新公告。此安全性更新程式的任何其他語言版本不會受此問題影響。＜安全性更新取代資訊＞亦已修訂。
•	V3.0 (2004 年 11 月 16 日)：由於發行新版 ISA Server 2000 安全性更新程式 (所有語言)，因此更新公告。使用 ISA Server 2000 Service Pack 1 或 Windows 2000 Service Pack 3 的客戶會受這些問題的影響。＜安全性更新取代資訊＞亦已修訂。

回到頁首