Эти коды кодов (SESSION1
- SESSION5) указывают место в NTOS\INIT\INIT.C, где была допущена
ошибка.
Параметры:
1. указывает код статуса, который показал, что инициализация NT не
прошла успешно.
Windows NT 2000 XP
Применяется к следующим системам:
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Server
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0 Terminal Server Edition
- Microsoft Windows NT Workstation 4.0
- Microsoft Windows XP 64-Bit Edition
- Microsoft Windows XP Professional
MS03-007: Unchecked Buffer in Windows Component May Cause Web
Server Compromise
Относится стопу SESSION5_INITIALIZATION_FAILED
Microsoft впервые выпустил эту статью 17, 2003. В то время
Microsoft был информирован о дыре в безопасности Windows 2000
Servers на IIS 5.0. Для атак использовался WebDAV, но корем
уязвимости был Ntdll.dll.
Microsoft выпустил патч для Windows 2000 и продолжил работу над
главной проблемой. Windows NT 4.0 так же имеет уязвимость в
Ntdll.dll, но он не поддерживает WebDAV, поэтому эта уязвимость не
может быть использована для атак Windows NT 4.0. Но патч для
Windows NT 4.0 был выпущен всё равно.
К тому же Microsoft изучает уязвимости в Windows XP. Тем не менее,
как и Windows NT 4.0, Windows XP не устанавливает Internet
Information Services (IIS) по умолчанию. 28 мая 2003 Microsoft
выпустил патч для Windows XP и Windows XP Service Pack 1.
Предупреждение: Если вы используете Windows
2000 Service Pack 2 (SP2), вы должны проверить версию Ntoskrnl.exe
до установки патча. Сделайте это так:
1. Откройте %Windir%\System32 folder.
2. Правой кнопкой мыши на Ntoskrnl.exe - Свойства
(Properties) - Закладка Версия (Version tab).
Версии Ntoskrnl.exe с 5.0.2195.4797 до 5.0.2195.4928 несовместимы с
этим патчем. Эти версии были разработаны только для Microsoft
Product Support Services hotfixes. Если вы установите этот патч на
компьютер с такими версиями Ntoskrnl.exe, копм зависнет и появиться
"Stop 0x00000071" сообщение после перезагрузки. Если такое
случиться, вам необходимо восстановить Windows, используя Windows
2000 Recovery Console и бекапную копию Ntdll.dll, которая
находиться в папке Winnt\$NTUninstallQ815021$.
Чтобы обновить такой Ntoskrnl.exe вы должны связаться с Microsoft
Product Support Services до установки патча. Номера телефонов и
тарифы оплат вы найдёте на http://support.microsoft.com/default.aspx?scid=sz;en-us;top
Или вы можете установить Windows 2000 Service Pack 3 (SP3) до
установки патча.
Симптомы: Windows 2000 поддерживает World Wide
Web Distributed Authoring and Versioning (WebDAV) протокол. WebDAV,
как это описано в RFC 2518, это набор расширений для Hypertext
Transfer Protocol (HTTP), который обеспечивает стандарты для правки
и управление файлами между компьютерами в Internet. Просмотреть RFC
2518 можно по адресу:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Эта уязвимость существует в Windows компонентах, которыми
пользуется WebDAV. И появляется потому, что компоненты содержат
непроверяемый буфер (unchecked buffer).
Взломщики могут воспользоваться уязвимостью, посылая специально
сформированные HTTP запросы на компьютер с Microsoft Internet
Information Services (IIS). Запрос может спровоцировать падение
сервера или запустить коды взломщиков по их выбору. Код будет
выполняться в контексте безопасности IIS сервиса. (По умолчанию,
IIS запускается в LocalSystem контексте).
Microsoft рекомендует установить патч немедленно. Для
дополнительной информации смотрите Microsoft Knowledge Base:
816930
MS03-007: How to Work Around the Vulnerability That Is Discussed in
Microsoft Knowledge Base Article 815021
Смягчающие факторы
В конфигурации по умолчанию URLScan предупреждает об уязвимостях.
URLScan - это часть IIS Lockdown. Для дополнительной информации об
URLScan смотрите:
http://www.microsoft.com/technet/security/URLScan.aspp
Для дополнительной информации об IIS Lockdown tool смотрите:
http://www.microsoft.com/technet/security/tools/tools/locktool.asp
Данная уязвимость может использоваться только удалённо, через
установленную связь по Web.
вверх
Решения:
Windows 2000
Для решения проблемы, установите последний пакет исправлений СП для
Microsoft Windows 2000.
Информация по исправлению безопасности:
Windows XP
Следующие файлы можно скачать с Microsoft Download Center:
Windows XP (все языки)
Download the 815021 package now.
Windows XP 64-Bit Edition
Download the 815021 package now.
Дата Выпуска: May 28, 2003
Для дополнительной информации:
119591
How to Obtain Microsoft Support Files from Online Services
Microsoft проскандировал эти файлы на вирусы, используя самые
обновлённые базы.
Предпосылки:
Этот патч должен быть установлен на Windows XP или Windows XP
Service Pack 1 (SP1).
Для дополнительной информации:
322389
How to Obtain the Latest Windows XP Service Pack
Информация по установке:
Могут быть использованы следующие команды:
- /?: Показать все команды.
- /u: Использовать несопровождаемый способ.
- /f: Закрыть другие программы, когда компьютер выключается.
- /n: Не сохранять текущую конфигурацию (удаление патча
впоследствии невозможно).
- /o: Переписывает OEM файлы без запросов.
- /z: Не перезагружать после того, как установка закончится.
- /q: Использовать "Тихий способ" (без вмешательства
пользователя).
- /l: Вывести список установленных хотфиксов.
- /x: Распаковать файлы, не запуская установку.
Например, чтобы установить патч без вмешательства пользователя и не
перезагружать компьютер после установки, используйте следующие
команды:
q815021_wxp_sp2_x86_enu /u /q /z
Чтобы убедится, что установка патча прошла успешно, проверьте
наличие ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
XP\SP2\Q815021
Информация по удалению:
Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ
(Add/Remove Programs tool) в Контрольной Панели (Control
Panel).
Системный администратор может использовать Spunist.exe утилиту для
удаления патча. Spuninst.exe находится в
%Windir%\$NTUninstallQ815021$\Spuninst папке и
поддерживает следующие команды:
- /?: Показать все команды.
- /u: Использовать несопровождаемый способ.
- /f: Закрыть другие программы, когда компьютер выключается.
- /z: Не перезагружать после того, как установка закончится.
- /q: Использовать "Тихий способ" (без вмешательства
пользователя).
Требование по перезагрузке:
Необходимо перезагрузить компьютер после установки или удаления
патча, так как он применяется к ядру системы, которое
конфигурируется о время загрузки.
Файловая информация:
В английской версии этих фалов атрибуты должны быть, как указано в
таблице или позже. Даты и время указаны в универсальном времени
(UTC). Когда вы просматриваете файлы, даты будут представлены в
локальном времени. Чтобы определить различие во времени,
воспользуйтесь утилитами системы Дата и Время.
Windows XP
Дата Время Версия Размер Путь Имя файла
---------------------------------------------------------------------------------
02-May-2003 15:03 5.1.2600.114 651,264 %Windir%\System32\Ntdll.dll
pre-SP1
01-May-2003 20:56 5.1.2600.1217 654,336 %Windir%\System32\Ntdll.dll
with SP1
Windows XP 64-Bit Edition
Дата Время Версия Размер Путь Имя файла
------------------------------------------------------------------------------------
02-May-2003 15:03 5.1.2600.114 1,498,112
%WinDir%\System32\Ntdll.dll pre-SP1
01-May-2003 14:57 5.1.2600.114 654,336 %WinDir%\System32\Wntdll.dll
pre-SP1
01-May-2003 20:56 5.1.2600.1217 1,508,864
%WinDir%\System32\Ntdll.dll with SP1
30-Apr-2003 21:43 5.1.2600.1217 657,408
%WinDir%\System32\Wntdll.dll with SP1
Вы так же можете посмотреть файлы, которые этот патч устанавливает,
проверив ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
XP\SP2\Q815021\Filelist
вверх
Windows 2000
Информация по установке:
Следующие файлы доступны для скачивания с Microsoft Download
Center:
Все языки, за исключением Japanese NEC
Download the 815021 package now.
Japanese NEC
Download the 815021 package now.
Дата выпуска: March 17, 2003
Для дополнительной информации:
119591
How to Obtain Microsoft Support Files from Online Services
Microsoft проскандировал эти файлы на вирусы, используя самые
обновлённые базы.
Предпосылки:
Патч должен быть установлен на Windows 2000 Service Pack 2 (SP2)
или Windows 2000 Service Pack 3 (SP3). Для дополнительной
информации смотрите Microsoft Knowledge Base:
260910
How to Obtain the Latest Windows 2000 Service Pack
Примечание:
Если вы используете Windows 2000 Service Pack 2 (SP2), посмотрите
предупреждение в начале этой статьи перед установкой патча.
Информация по установке:
Могут быть использованы следующие команды:
- /?: Показать все команды.
- /u: Использовать несопровождаемый способ.
- /f: Закрыть другие программы, когда компьютер выключается.
- /n: Не сохранять текущую конфигурацию (удаление патча
впоследствии невозможно).
- /o: Переписывает OEM файлы без запросов.
- /z: Не перезагружать после того, как установка закончится.
- /q: Использовать "Тихий способ" (без вмешательства
пользователя).
- /l: Вывести список установленных хотфиксов.
- /x: Распаковать файлы, не запуская установку.
Например, чтобы установить патч без вмешательства пользователя и не
перезагружать компьютер после установки, используйте следующие
команды:
q815021_w2k_sp4_x86_en /u /q /z
Чтобы убедится, что установка патча прошла успешно, проверьте
наличие ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
2000\SP4\Q815021
Информация по удалению:
Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ
(Add/Remove Programs tool) в Контрольной Панели (Control Panel) -
"Windows 2000 Hotfix (SP4) Q815021.
"Системный администратор может использовать Spunist.exe утилиту для
удаления патча. Spuninst.exe находится в
%Windir%\$NTUninstallQ815021$\Spuninst папке и
поддерживает следующие команды:
- /?: Показать все команды.
- /u: Использовать несопровождаемый способ.
- /f: Закрыть другие программы, когда компьютер выключается.
- /z: Не перезагружать после того, как установка закончится.
- /q: Использовать "Тихий способ" (без вмешательства
пользователя).
Требование по перезагрузке:
Необходимо перезагрузить компьютер после установки или удаления
патча, так как он применяется к ядру системы, которое
конфигурируется на загрузке.
Файловая информация:
В английской версии этих фалов атрибуты должны быть, как указано в
таблице или позже. Даты и время указаны в универсальном времени
(UTC). Когда вы просматриваете файлы даты, будут представлены в
локальном времени.
Чтобы определить различие во времени, воспользуйтесь утилитами
системы Дата и Время.
Дата Время Версия Размер Путь Имя файла
-----------------------------------------------------------------------
15-Mar-2003 01:23 5.0.2195.6685 476,944
%Windir%\System32\Ntdll.dll
Вы так же можете посмотреть файлы, которые этот патч устанавливает,
проверив ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
2000\SP4\Q815021\Filelist
вверх
Windows NT 4.0 (All Versions)
Microsoft Internet Information Server (IIS) не предназначен для
использования на Windows NT Server 4.0, Terminal Server Edition, и
поэтому ими не поддерживается. Microsoft рекомендует пользователям
использующим IIS 4.0 на Windows NT Server 4.0, Terminal Server
Edition защитить свою систему, удалив IIS 4.0.
Информация по установке:
Следующие файлы доступны для скачивания с Microsoft Download
Center:
Windows NT 4.0:
Все языки, исключая Japanese NEC и Chinese - Hong Kong:
Download the 815021 package now.
Japanese NEC:
Download the 815021 package now.
Chinese - Hong Kong:
Download the 815021 package now.
Windows NT Server 4.0, Terminal Server Edition:
Все языки:
Download the 815021 package now.
Дата выпуска: April 23, 2003
Для дополнительной информации:
119591
How to Obtain Microsoft Support Files from Online Services
Microsoft проскандировал эти файлы на вирусы, используя самые
обновлённые базы.
Предпосылки: Этот патч должен быть
установлен на Windows NT 4.0 Service Pack 6a (SP6a) или Windows NT
Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Для
дополнительной информации смотрите Microsoft Knowledge Base:
152734
How to Obtain the Latest Windows NT 4.0 Service Pack
Информация по установке:
Могут быть использованы следующие команды:
- /y : Удалить (только с /m или /q ).
- /f : Закрыть другие программы, когда компьютер
выключается.
- /n : Не создавать папку Uninstall.
- /z : Не перезагружать после того, как установка
закончится.
- /q : Использовать "Тихий" или несопровождаемый способ с
вмешательством пользователя. (Это команда является расширенной
командой - /m)
- /m : Использовать несопровождаемый способ с вмешательством
пользователя.
- /l: Вывести список установленных хотфиксов.
- /x: Распаковать файлы, не запуская установку.
Например, чтобы установить патч c вмешательством пользователя и не
перезагружать компьютер после установки, используйте следующие
команды:
q815021i /q /z
Чтобы убедится, что установка патча прошла успешно, проверьте
наличие ключа реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Hotfix\Q815021
Информация по удалению:
Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ
(Add/Remove Programs tool) в Контрольной Панели (Control
Panel).
Системный администратор может использовать Spunist.exe утилиту для
удаления патча. Spuninst.exe находится в
%Windir%\$NTUninstallQ815021$\Spuninst папке и
поддерживает следующие команды:
- /?: Показать все команды.
- /u: Использовать несопровождаемый способ.
- /f: Закрыть другие программы, когда компьютер выключается.
- /z: Не перезагружать после того, как установка закончится.
- /q: Использовать "Тихий способ" (без вмешательства
пользователя).
Требование по перезагрузке:
Необходимо перезагрузить компьютер после установки или удаления
патча, так как он применяется к ядру системы, которое
конфигурируется на загрузке.
Файловая информация:
В английской версии этих фалов атрибуты должны быть, как указано в
таблице или позже. Даты и время указаны в универсальном времени
(UTC). Когда вы просматриваете файлы даты, будут представлены в
локальном времени. Чтобы определить различие во времени,
воспользуйтесь утилитами системы Дата и Время.
Дата Время Версия Размер Путь Имя файла
----------------------------------------------------------------------------------------
24-Mar-2003 10:38 4.0.1381.7212 367,376 %WinDir%\System32\Ntdll.dll
Windows NT 4.0
24-Mar-2003 07:12 4.0.1381.33546 369,936
%WinDir%\System32\Ntdll.dll TSE
Дополнительная информация:
http://www.microsoft.com/technet/security/bulletin/MS03-007.asp
Если на вашем компьютере несколько процессоров (multiple
processors), необходимо запустить Microsoft Baseline Security
Analyzer (MBSA) с /nosum командой, чтобы запретить проверку
checksum. Для дополнительной информации обратитесь к Microsoft
Knowledge Base:
320454
Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Is
Available
вверх
|