安全研究
紧急通告
微软发布2005年10月份安全公告 修复多个严重安全漏洞
发布日期:2005-10-12
综述:
======
微软刚刚发布了9个安全公告,这些公告描述并修复了14个安全漏洞,其中MS05-050/MS05-051/MS05-052中所描述的安全漏洞属于“紧急”风险级别。攻击者利用这些漏洞可能远程入侵并完全控制服务器或者客户端系统。
我们强烈建议使用Windows操作系统的用户立刻检查一下您的系统是否受此漏洞影响,并按照我们提供的解决方法予以解决。
分析:
======
微软刚刚发布了9个最新的安全公告: MS05-044到MS05-052。这些安全公告分别描述了14个安全问题,分别是有关各版本的Microsoft Windows和Internet Explorer的漏洞。
1. MS05-044 - Windows FTP客户端中的漏洞可能允许篡改文件传输位置(905495)
- 受影响系统:
Microsoft Windows XP Service Pack 1
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
- 受影响组件:
Microsoft Windows 2000 Service Pack 4上的Internet Explorer 6 Service
Pack 1
- 漏洞危害: 篡改
- 严重程度: 中等
- 漏洞描述:
Windows FTP客户端验证文件名的方式存在漏洞,可能允许攻击者在FTP文件传输
会话期间在客户端上篡改文件传输位置。
风险级别和漏洞标识
___________________________________________________________
| | |Windows XP|Windows |安装在Windows |
|漏洞标识 |漏洞 |SP1 |Server 2003|2000 SP4上的 |
| |影响 | | |IE 6 SP1 |
|_____________|_______|__________|___________|______________|
| | | | | |
|FTP客户端漏洞|篡改 |中等 |中等 |中等 |
|CAN-2005-2126| | | | |
|_____________|_______|__________|___________|______________|
- 临时解决方案:
* 不要从不可信任的FTP服务器下载文件。
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带的
"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/Bulletin/MS05-044.mspx
2. MS05-045 - 网络连接管理器中的漏洞可能允许拒绝服务(905414)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1
- 漏洞危害: 拒绝服务
- 严重程度: 中等
- 漏洞描述:
网络连接管理器中的漏洞可能允许攻击者导致负责管理网络和远程访问连接的组
件停止响应。攻击者必须拥有有效的登陆凭据才能利用这个漏洞。
风险级别和漏洞标识
_____________________________________________________________________
|漏洞标识 |漏洞影响 |Windows |Windows|Windows |Windows |Windows |
| | |2000 |XP SP1 |XP SP2 |Server |Server |
| | | | | |2003 |2003 SP1|
|_____________|_________|_________|_______|________|________|________|
|网络连接管理 | | | | | | |
|器漏洞 |拒绝服务 |中等 |中等 |低 |中等 |低 |
|CAN-2005-2307| | | | | | |
|_____________|_________|_________|_______|________|________|________|
- 临时解决方案:
在边界防火墙阻断:
* UDP 135, 137, 138和445及TCP 135, 139, 445和593端口
* 大于1024端口上所有未经请求的入站通讯
* 任何其他特定配置的RPC端口
* 在80和443端口上监听的COM Internet Services (CIS)或RPC over HTTP(如果
安装了的话)
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/downloads/details.aspx?FamilyId=92C5A89F-89E5-4A33-ACD6-4F42AE921681
http://www.microsoft.com/downloads/details.aspx?FamilyId=19569E67-6D99-41FC-9457-44EC524F6106
http://www.microsoft.com/downloads/details.aspx?FamilyId=143B0289-6E60-4918-A46C-B0BE2131C7AF
3. MS05-046 - NetWare客户端服务中的漏洞可能允许远程执行任意代码(899589)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1
- 漏洞危害: 远程执行代码
- 严重程度: 重要
- 漏洞描述:
NetWare客户端服务中的漏洞可能允许攻击者完全控制受影响的系统。Netware客户
端服务在Microsoft Windows上不是默认安装的.
风险级别和漏洞标识
____________________________________________________________
|漏洞标识 |漏洞影响 |Windows |Windows|Windows |Windows |
| | |2000 |XP |Server |Server |
| | | | |2003 |2003 SP1|
|_____________|_________|_________|_______|________|________|
|NetWare客户端| | | | | |
|服务漏洞 |远程执行 |重要 |重要 |重要 |重要 |
|CAN-2005-1985|代码 | | | | |
|_____________|_________|_________|_______|________|________|
- 临时解决方案:
* 如果不需要的话,删除NetWare客户端服务
* 在防火墙阻断TCP 139和445端口
* 使用个人防火墙,如Windows XP和Windows Server 2003捆绑的Internet连接防
火墙
* 在支持高级TCP/IP过滤的系统上启用该功能
* 在受影响的系统上使用IPSec阻断受影响的端口
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/downloads/details.aspx?FamilyId=261A7D4D-90FC-4529-9C4A-B630196C6A83
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C1C2C16-99E7-4701-A3F8-65B803B8B881
http://www.microsoft.com/downloads/details.aspx?FamilyId=8AB86BA3-54CD-44D7-8016-DE6E3ED51021
4. MS05-047 - 即插即用中的漏洞可能允许远程执行代码和本地权限提升(905749)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
- 漏洞危害: 远程执行代码
- 严重程度: 重要
- 漏洞描述:
即插即用(PnP)中存在一个漏洞,允许攻击者完全控制受影响的系统。攻击者必须
拥有有效的登录凭据并能本地登录才能利用此漏洞。
风险级别和漏洞标识
___________________________________________
|漏洞标识 |漏洞影响 |Windows|Windows |
| | |2000 |XP |
|_____________|____________|_______|________|
| | | | |
|即插即用漏洞 |远程执行代 |重要 |重要 |
|CAN-2005-2120|码和权限提升| | |
|_____________|____________|_______|________|
- 临时解决方案:
* 在防火墙阻断TCP 139和445端口
* 使用个人防火墙,如Windows XP和Windows Server 2003捆绑的Internet连接防
火墙
* 在支持高级TCP/IP过滤的系统上启用该功能
* 在受影响的系统上使用IPSec阻断受影响的端口
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/downloads/details.aspx?FamilyId=FFDB8AB7-F979-41B4-9625-EA51CD503258
http://www.microsoft.com/downloads/details.aspx?FamilyId=1559E44A-DDEE-4C86-BF02-A6C3B9BEEE0C
5. MS05-048 - Microsoft协作数据对象中的漏洞可能允许远程执行代码(907245)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1
Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
安装了2004年8月Exchange 2000 Post-Service Pack 3更新总成的Microsoft
Exchange 2000 Server Service Pack 3
- 漏洞危害: 远程执行代码
- 严重程度: 重要
- 漏洞描述:
Microsoft协作数据对象中的漏洞可能允许攻击者完全控制受影响的系统.Windows
和Exchange默认配置中的SMTP不受这个漏洞影响.
风险级别和漏洞标识
_____________________________________________________________________
|漏洞标识 |漏洞影响 |Windows |Windows|Windows |Windows |Windows |
| | |2000 |XP SP1 |XP SP2 |Server |Server |
| | | | | |2003 |2003 SP1|
|_____________|_________|_________|_______|________|________|________|
|协作数据对象 | | | | | | |
|漏洞 |远程执行 |重要 |中等 |中等 |中等 |中等 |
|CAN-2005-1987|代码 | | | | | |
|_____________|_________|_________|_______|________|________|________|
- 临时解决方案:
* 禁用Exchange 2000 Server和运行IIS的服务器上启用的所有事件接收器
* 注销Exchange 2000 Server上的Cdoex.dll文件和Cdosys.dll文件,并且注销运
行IIS的服务器上的Cdosys.dll文件。
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS05-048.mspx
6. MS05-049 - Windows Shell中的漏洞可能允许远程执行代码(900725)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1
Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
- 漏洞危害: 远程执行代码
- 严重程度: 重要
- 漏洞描述:
Windows中的漏洞可能允许攻击者完全控制受影响的系统。但必须用户交互才能利
用这个漏洞。
风险级别和漏洞标识
_____________________________________________________________________
|漏洞标识 |漏洞影响 |Windows |Windows|Windows |Windows |Windows |
| | |2000 |XP SP1 |XP SP2 |Server |Server |
| | | | | |2003 |2003 SP1|
|_____________|_________|_________|_______|________|________|________|
| | | | | | | |
|Shell漏洞 |远程执行 |重要 |重要 |重要 |重要 |重要 |
|CAN-2005-2122|代码 | | | | | |
|_____________|_________|_________|_______|________|________|________|
| | | | | | | |
|Shell漏洞 |远程执行 |重要 |重要 |无 |无 |无 |
|CAN-2005-2118|代码 | | | | | |
|_____________|_________|_________|_______|________|________|________|
|Web视图脚本 | | | | | | |
|注入漏洞 |远程执行 |中等 |无 |无 |无 |无 |
|CAN-2005-1987|代码 | | | | | |
|_____________|_________|_________|_______|________|________|________|
| | | | | | | |
|所有漏洞总体 | |重要 |重要 |重要 |重要 |重要 |
|风险级别 | | | | | | |
|_____________|_________|_________|_______|________|________|________|
- 临时解决方案:
* 不要打开未知或不可信任来源的带有.lnk扩展名的文件或浏览其属性
* 禁用Web视图
* 在防火墙阻断TCP 139和445端口
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS05-049.mspx
7. MS05-050 - DirectShow中的漏洞可能允许远程执行代码(904706)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4上的Microsoft DirectX 7.0
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack
2上的Microsoft DirectX 8.1
Microsoft Windows XP Professional x64 Edition上的Microsoft DirectX 8.1
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1上的Microsoft DirectX 8.1
Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft
Windows Server 2003 with SP1 for Itanium-based Systems上的Microsoft
DirectX 8.1
Microsoft Windows Server 2003 x64 Edition上的Microsoft DirectX 8.1
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
Windows Millennium Edition (ME)
受影响组件:
安装在Windows 2000 Service Pack 4上的Microsoft DirectX 8.0, 8.0a, 8.1,
8.1a, 8.1b和8.2
安装在Windows 2000 Service Pack 4上的Microsoft DirectX 9.0, 9.0a, 9.0b
和9.0c
安装在Windows XP Service Pack 1上的Microsoft DirectX 9.0, 9.0a, 9.0b和
9.0c
安装在Windows Server 2003上的Microsoft DirectX 9.0, 9.0a, 9.0b和9.0c
- 漏洞危害: 远程执行代码
- 严重程度: 紧急
- 漏洞描述:
DirectShow中的漏洞可能允许攻击者完全控制受影响的系统。
风险级别和漏洞标识
___________________________________________________________________
|漏洞标识 |漏洞影响 |Windows |Windows|Windows |Windows Server |
| | |98,98 SE,|2000 |XP SP1 |2003和Windows |
| | |ME |SP4 |和SP2 |Server 2003 SP1|
|_____________|_________|_________|_______|________|_______________|
|DirectShow | | | | | |
|漏洞 |远程执行 | 紧急 | 紧急 | 紧急 | 紧急 |
|CAN-2005-0048|代码 | | | | |
|_____________|_________|_________|_______|________|_______________|
- 临时解决方案:
无
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS05-050.mspx
8. MS05-051 - MSDTC和COM+中的漏洞可能允许远程执行代码(902400)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1
Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
- 漏洞危害: 远程执行代码
- 严重程度: 紧急
- 漏洞描述:
MSDC和COM+中的漏洞可能允许攻击者完全控制受影响的系统。
风险级别和漏洞标识
_____________________________________________________________________
|漏洞标识 |漏洞影响 |Windows |Windows|Windows |Windows |Windows |
| | |2000 |XP SP1 |XP SP2 |Server |Server |
| | | | | |2003 |2003 SP1|
|_____________|_________|_________|_______|________|________|________|
| |远程执行 | | | | | |
|MSDTC漏洞 |和本地权 |紧急 |重要 |无 |重要 |无 |
|CAN-2005-2119|限提升 | | | | | |
|_____________|_________|_________|_______|________|________|________|
| |远程执行 | | | | | |
|COM+漏洞 |和本地权 |紧急 |紧急 |重要 |重要 |重要 |
|CAN-2005-1978|限提升 | | | | | |
|_____________|_________|_________|_______|________|________|________|
| | | | | | | |
|TIP漏洞 |拒绝服务 |中等 |低 |低 |低 |低 |
|CAN-2005-1979| | | | | | |
|_____________|_________|_________|_______|________|________|________|
| | | | | | | |
|分布式TIP漏洞|拒绝服务 |中等 |低 |低 |低 |低 |
|CAN-2005-1980| | | | | | |
|_____________|_________|_________|_______|________|________|________|
| | | | | | | |
|所有漏洞总体 | |紧急 |紧急 |重要 |重要 |重要 |
|风险级别 | | | | | | |
|_____________|_________|_________|_______|________|________|________|
- 临时解决方案:
* 禁用分布式事务处理协调器
* 在所有不需要此功能的受影响系统上,使用组策略设置禁用分布式事务处理协
调器
* 禁止网络DTC访问
* 在防火墙处阻止以下内容:
端口号大于1024的端口上的所有非法入站流量
任何其他特殊配置的RPC端口
UDP端口135、137、138和445;TCP端口135、139、445和593
COM Internet服务(CIS)或“HTTP上的RPC”监听端口80和443(如果已安装)
TCP端口3372
* 使用个人防火墙,如Windows XP和Windows Server 2003捆绑的Internet连接防
火墙
* 在支持高级TCP/IP过滤的系统上启用该功能
* 在受影响的系统上使用IPSec阻断受影响的端口
* 禁用COM+,DCOM
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS05-051.mspx
9. MS05-052 - Internet Explorer累计安全更新(896688)
- 受影响系统:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1和Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1
Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)和Microsoft
Windows Millennium Edition (ME)
- 受影响组件:
Microsoft Windows 2000 Service Pack 4上的Internet Explorer 5.01 Service
Pack 4
Microsoft Windows 2000 Service Pack 4或Microsoft Windows XP Service
Pack 1上的Internet Explorer 6 Service Pack 1
Microsoft Windows XP Service Pack 2上的Internet Explorer 6
Microsoft Windows Server 2003和Microsoft Windows Server 2003 Service
Pack 1的Internet Explorer 6
Microsoft Windows Server 2003 for Itanium-based Systems和Microsoft Windows
Server 2003 with SP1 for Itanium-based Systems的Internet Explorer 6
Microsoft Windows Server 2003 x64 Edition的Internet Explorer 6
Microsoft Windows XP Professional x64 Edition的Internet Explorer 6
Microsoft Windows Millennium Edition上的Internet Explorer 5.5 Service
Pack 2 on
Microsoft Windows 98, Microsoft Windows 98 SE或Microsoft Windows Millennium
Edition上的Internet Explorer 6 Service Pack 1
- 漏洞危害: 远程执行代码
- 严重程度: 紧急
- 漏洞描述:
如果在Internet Explorer中实例化的话,Microsoft DDS Library Shape Control
(Msdds.dll)和其他COM对象可能允许攻击者完全控制受影响的系统。
风险级别和漏洞标识
_____________________________________________________________________________
| | |Internet |Windows ME|Internet |Internet |Internet |
|漏洞标识 |漏洞 |Explorer |上的 |Explorer 6|Explorer 6 |Explorer 6|
| |影响 |5.0 SP4 |Internet |SP1(所有 |for Windows|forWindows|
| | | |Explorer |Windows |Server 2003|XP SP2 |
| | | |5.5 SP2 |Server2003|和Server | |
| | | | |之前版本 |2003 SP1 | |
|_____________|_______|_________|__________|__________|___________|__________|
|COM对象实例化| | | | | | |
|内存破坏漏洞 |远程执 |紧急 |紧急 |紧急 |中等 |紧急 |
|CAN-2005-2127|行代码 | | | | | |
|_____________|_______|_________|__________|__________|___________|__________|
- 临时解决方案:
* 在Internet和本地intranet安全区中运行ActiveX控件和活动脚本前将安全区设
置为“高”以提示。
* 将Web站点仅限为可信任的Web站点。
* 禁止在Internet Explorer中运行COM对象。
- 厂商补丁:
微软已经提供了安全补丁以修复此安全漏洞,我们建议您使用Windows系统自带
的"Windows update"功能下载最新补丁。
您也可以通过微软的安全公告选择并安装针对您所用系统的安全补丁:
http://www.microsoft.com/technet/security/bulletin/MS05-052.mspx
附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/MS05-044mspx
2. http://www.microsoft.com/technet/security/bulletin/MS05-045.mspx
3. http://www.microsoft.com/technet/security/bulletin/MS05-046.mspx
4. http://www.microsoft.com/technet/security/bulletin/MS05-047.mspx
5. http://www.microsoft.com/technet/security/bulletin/MS05-048.mspx
6. http://www.microsoft.com/technet/security/bulletin/MS05-049.mspx
7. http://www.microsoft.com/technet/security/bulletin/MS05-050.mspx
8. http://www.microsoft.com/technet/security/bulletin/MS05-051.mspx
9. http://www.microsoft.com/technet/security/bulletin/MS05-052.mspx
10.http://www.microsoft.com/technet/security/bulletin/ms05-oct.mspx
11 http://www.us-cert.gov/cas/techalerts/TA05-284A.html
12.http://www.nsfocus.net/index.php?act=alert&do=view&aid=58
声 明
==========
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
============
绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com
© 2024 绿盟科技