发布日期：2005-02-08
更新日期：2005-02-13

受影响系统：

Microsoft Windows NT 4.0SP6a
Microsoft Windows 2003
Microsoft Windows 2000SP4
Microsoft Windows 2000SP3

不受影响系统：

Microsoft Windows ME
Microsoft Windows 98se
Microsoft Windows 98

描述：

---

BUGTRAQ  ID: 12481
CVE(CAN) ID: CVE-2005-0050

License Logging Service是一款设计用于帮助客户管理Microsoft服务产品的证书的工具。

Microsoft License Logging Service在处理畸形请求时存在安全漏洞，远程攻击者可以利用这个漏洞以系统权限在系统上执行任意指令。

License Logging Service在处理某个带有超长的参数畸形请求时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞在主机上执行任意指令，从而完全控制系统。

<*来源：Kostya Kortchinsky （kostya.kortchinsky@renater.fr）
  
  链接：http://www.microsoft.com/technet/security/bulletin/ms05-010.mspx
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在管理工具中关闭证书记录服务。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS05-010）以及相应补丁:
MS05-010：Vulnerability in the License Logging Service Could Allow Code Execution (885834)
链接：http://www.microsoft.com/technet/security/bulletin/ms05-010.mspx

补丁下载：

Microsoft Windows NT Server 4.0 Service Pack 6a

http://www.microsoft.com/downloads/details.aspx?FamilyId=817FDC2D-AEE2-4FAF-908B-197B65A471F2

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6

http://www.microsoft.com/downloads/details.aspx?FamilyId=F7B0934C-3049-4B01-956A-B116F69A667E

Microsoft Windows 2000 Server Service Pack 3 and Microsoft Windows 2000 Server Service Pack 4

http://www.microsoft.com/downloads/details.aspx?FamilyId=E9983AA2-2CEC-4B62-80D6-8E966A83A5D1

Microsoft Windows Server 2003

http://www.microsoft.com/downloads/details.aspx?FamilyId=06EAF8E3-CCB7-482B-8B68-340521150113

Microsoft Windows Server 2003 for Itanium-based Systems

http://www.microsoft.com/downloads/details.aspx?FamilyId=EC25EC00-9C08-4555-94C7-21D5A521FDB6

浏览次数：5796
严重程度：0（网友投票）