发布日期：2003-01-22
更新日期：2003-01-29

受影响系统：

Microsoft Windows Locator
    - Microsoft Windows XP Professional SP1
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home SP1
    - Microsoft Windows XP Home
    - Microsoft Windows XP 64-bit Edition SP1
    - Microsoft Windows XP 64-bit Edition
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Server SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP3
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Microsoft Windows 2000 Datacenter Server SP3
    - Microsoft Windows 2000 Datacenter Server SP2
    - Microsoft Windows 2000 Datacenter Server SP1
    - Microsoft Windows 2000 Datacenter Server
    - Microsoft Windows 2000 Advanced Server SP3
    - Microsoft Windows 2000 Advanced Server SP2
    - Microsoft Windows 2000 Advanced Server SP1
    - Microsoft Windows 2000 Advanced Server
    - Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 6666
CVE(CAN) ID: CVE-2003-0003

Windows Locator服务是一款映射逻辑名称到网络特定名称的名字服务。

Windows Locator服务不正确处理非常大的请求，远程攻击者可以利用这个漏洞对Locator服务进行缓冲区溢出攻击或进行拒绝服务攻击。

Windows Locator按照MS03-001描述是这样的一个服务：

一客户端使用远程过程调用(RPC)调用Locator服务，Locator服务负责把客户提交的网络名解析转换为硬盘，打印机等计算机系统上实际资源的地址。如果某一个打印机服务器逻辑名为"laserprinter"，RPC客户端调用Locator服务来找出网络名所映射的"laserprinter"，RPC客户端在调用RPC服务的时候使用网络名来提交请求。

不过Locator服务在接收注册信息的时候没有对Locator服务的参数进行详细检查，超长超大的参数可以导致服务程序触发缓冲区溢出，使Locator服务崩溃，精心构建提交数据可能以Locator服务进程的权限在系统上执行任意指令。

默认情况下Locator服务在Windows 2000域控制器和Windows NT 4.0域控制器上运行，但是在下面的操作系统下默认不使用这个服务：

Windows NT 4.0 (工作站和成员服务器)
Windows 2000 (工作站和成员服务器)
Windows XP

<*来源：Microsoft Security bulletins
  
  链接：http://www.microsoft.com/security/security_bulletins/ms03-001.asp
        http://www.cert.org/advisories/CA-2003-03.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 要判断Windows Locator服务是否运行，建议执行如下操作：

- Windows 2000和Windows XP系统下，使用
  
  控制面板-管理工具-服务
  
  而在Windows NT 4.0，使用
  
  控制面板-服务
  
- 你也可以在命令行输入:net start

- 检查所有服务列表，如果存在"Remote Procedure Call (RPC) Locator"，表明Locator服务运行。

  建议执行如下操作关闭Locator服务：
  
- 通过在服务控制面板中设置RpcLocator服务状态为"禁用"。

- 使用Windows XP或者"Windows 2000 Resource Kit"包含的sc.exe程序停止此服务：

  sc stop RpcLocator
  
- 使用Windows XP或者"Windows 2000 Resource Kit"包含的sc.exe程序关闭此服务：

  sc config RpcLocator start= disabled

厂商补丁：

Microsoft
---------
Microsoft提供如下解决方案，请下载相关平台下的相关补丁：

Windows NT 4.0:

-除了Japanese NEC和Chinese - Hong Kong地区的操作系统：

http://microsoft.com/downloads/details.aspx?FamilyId=F92D1E86-590A-4DA5-93F2-FCC6300A1A43&displaylang=en

-Japanese NEC

http://microsoft.com/downloads/details.aspx?FamilyId=F211C932-D442-4A1A-B385-77975DE3B280&displaylang=ja

-Chinese - Hong Kong

http://microsoft.com/downloads/details.aspx?FamilyId=C8AAB17B-48B2-4E9F-B06F-2A54BA59A45F&displaylang=zh-tw

Windows NT 4.0, Terminal Server Edition:

所有平台相关补丁下载：

http://microsoft.com/downloads/details.aspx?FamilyId=EB651162-97F2-47F9-8E99-016B35B7646D&displaylang=en

Windows 2000:

All except Japanese NEC

http://microsoft.com/downloads/details.aspx?FamilyId=33FF827A-D5DB-4F92-9DEF-4D91A140E0E0&displaylang=en

Japanese NEC

http://microsoft.com/downloads/details.aspx?FamilyId=1B142CF9-CADA-4DFF-B42D-7E2022A17E6A&displaylang=ja

Windows XP:

32-bit Edition

http://microsoft.com/downloads/details.aspx?FamilyId=DF24197E-6217-4ABD-A244-0A53320B2813&displaylang=en

64-bit Edition

http://microsoft.com/downloads/details.aspx?FamilyId=B8999D16-3DAD-4E20-B46E-E1AEFB1F6673&displaylang=en

浏览次数：3711
严重程度：0（网友投票）