首页 -> 安全研究
安全研究
安全漏洞
Microsoft Windows Locator服务远程缓冲区溢出漏洞
发布日期:2003-01-22
更新日期:2003-01-29
受影响系统:
Microsoft Windows Locator描述:
- Microsoft Windows XP Professional SP1
- Microsoft Windows XP Professional
- Microsoft Windows XP Home SP1
- Microsoft Windows XP Home
- Microsoft Windows XP 64-bit Edition SP1
- Microsoft Windows XP 64-bit Edition
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Server SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP3
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP3
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP3
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000
BUGTRAQ ID: 6666
CVE(CAN) ID: CVE-2003-0003
Windows Locator服务是一款映射逻辑名称到网络特定名称的名字服务。
Windows Locator服务不正确处理非常大的请求,远程攻击者可以利用这个漏洞对Locator服务进行缓冲区溢出攻击或进行拒绝服务攻击。
Windows Locator按照MS03-001描述是这样的一个服务:
一客户端使用远程过程调用(RPC)调用Locator服务,Locator服务负责把客户提交的网络名解析转换为硬盘,打印机等计算机系统上实际资源的地址。如果某一个打印机服务器逻辑名为"laserprinter",RPC客户端调用Locator服务来找出网络名所映射的"laserprinter",RPC客户端在调用RPC服务的时候使用网络名来提交请求。
不过Locator服务在接收注册信息的时候没有对Locator服务的参数进行详细检查,超长超大的参数可以导致服务程序触发缓冲区溢出,使Locator服务崩溃,精心构建提交数据可能以Locator服务进程的权限在系统上执行任意指令。
默认情况下Locator服务在Windows 2000域控制器和Windows NT 4.0域控制器上运行,但是在下面的操作系统下默认不使用这个服务:
Windows NT 4.0 (工作站和成员服务器)
Windows 2000 (工作站和成员服务器)
Windows XP
<*来源:Microsoft Security bulletins
链接:http://www.microsoft.com/security/security_bulletins/ms03-001.asp
http://www.cert.org/advisories/CA-2003-03.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 要判断Windows Locator服务是否运行,建议执行如下操作:
- Windows 2000和Windows XP系统下,使用
控制面板-管理工具-服务
而在Windows NT 4.0,使用
控制面板-服务
- 你也可以在命令行输入:net start
- 检查所有服务列表,如果存在"Remote Procedure Call (RPC) Locator",表明Locator服务运行。
建议执行如下操作关闭Locator服务:
- 通过在服务控制面板中设置RpcLocator服务状态为"禁用"。
- 使用Windows XP或者"Windows 2000 Resource Kit"包含的sc.exe程序停止此服务:
sc stop RpcLocator
- 使用Windows XP或者"Windows 2000 Resource Kit"包含的sc.exe程序关闭此服务:
sc config RpcLocator start= disabled
厂商补丁:
Microsoft
---------
Microsoft提供如下解决方案,请下载相关平台下的相关补丁:
Windows NT 4.0:
-除了Japanese NEC和Chinese - Hong Kong地区的操作系统:
http://microsoft.com/downloads/details.aspx?FamilyId=F92D1E86-590A-4DA5-93F2-FCC6300A1A43&displaylang=en
-Japanese NEC
http://microsoft.com/downloads/details.aspx?FamilyId=F211C932-D442-4A1A-B385-77975DE3B280&displaylang=ja
-Chinese - Hong Kong
http://microsoft.com/downloads/details.aspx?FamilyId=C8AAB17B-48B2-4E9F-B06F-2A54BA59A45F&displaylang=zh-tw
Windows NT 4.0, Terminal Server Edition:
所有平台相关补丁下载:
http://microsoft.com/downloads/details.aspx?FamilyId=EB651162-97F2-47F9-8E99-016B35B7646D&displaylang=en
Windows 2000:
All except Japanese NEC
http://microsoft.com/downloads/details.aspx?FamilyId=33FF827A-D5DB-4F92-9DEF-4D91A140E0E0&displaylang=en
Japanese NEC
http://microsoft.com/downloads/details.aspx?FamilyId=1B142CF9-CADA-4DFF-B42D-7E2022A17E6A&displaylang=ja
Windows XP:
32-bit Edition
http://microsoft.com/downloads/details.aspx?FamilyId=DF24197E-6217-4ABD-A244-0A53320B2813&displaylang=en
64-bit Edition
http://microsoft.com/downloads/details.aspx?FamilyId=B8999D16-3DAD-4E20-B46E-E1AEFB1F6673&displaylang=en
浏览次数:3675
严重程度:0(网友投票)
绿盟科技给您安全的保障