首頁 -> 安全研究

安全研究

緊急通告
綠盟科技緊急通告(Alert2008-09)

NSFOCUS安全小組([email protected])
http://www.nsfocus.com

Windows Server服務遠程RPC溢出漏洞(MS08-067)

發布日期:2008-10-24

CVE ID:CVE-2008-4250
BUGTRAQ ID:31874

受影響的軟件及系統:
====================
Microsoft Windows 2000 Service Pack 4
    Windows XP Service Pack 2
    Windows XP Service Pack 3
    Windows XP Professional x64 Edition
    Windows XP Professional x64 Edition Service Pack 2
    Windows Server 2003 Service Pack 1
    Windows Server 2003 Service Pack 2
    Windows Server 2003 x64 Edition
    Windows Server 2003 x64 Edition Service Pack 2
    Windows Server 2003 with SP1 for Itanium-based Systems
    Windows Server 2003 with SP2 for Itanium-based Systems
    Windows Vista和Windows Vista Service Pack 1
    Windows Vista x64 Edition和Windows Vista x64 Edition Service Pack 1
    Windows Server 2008 for 32-bit Systems
    Windows Server 2008 for x64-based Systems
    Windows Server 2008 for Itanium-based Systems

綜述:
======
微軟發布了10月份的一篇緊急的額外安全公告MS08-067,該公告修復了Windows Server服務在處理特制RPC請求時存在的漏洞。該漏洞屬于“緊急”風險級別,遠程攻擊者利用這個漏洞可能遠程入侵并完全控制用戶系統。

目前所有支持的Windows版本,包括Server版本,均受這個漏洞影響。目前該漏洞已經被利用來進行攻擊,有可能很快會爆發針對此漏洞的蠕蟲。

我們強烈建議使用Windows操作系統的用戶立刻檢查一下您的系統是否受此漏洞影響,并按照我們提供的解決方法予以解決。

分析:
======
Windows的Server服務在處理特制RPC請求時存在緩沖區溢出漏洞,遠程攻擊者可以通過發送惡意的RPC請求觸發這個溢出,導致完全入侵用戶系統,以SYSTEM權限執行任意代碼。

對于Windows 2000、XP和Server 2003,無需認證便可以利用這個漏洞;對于Windows  Vista和Server 2008,可能需要進行認證。

解決方法:
==========
- 臨時解決方案:

    * 禁用Server和Computer Browser服務。
    * 在防火墻阻斷TCP 139和445端口。
    * 使用個人防火墻,如Internet連接防火墻,并取消“例外”選項卡中“文件和打
      印機共享”上的復選框。
    * 在Windows Vista和Windows Server 2008上,阻斷受影響的RPC標識符。在命令
    提示符中運行以下命令:

    netsh

    然后在netsh環境中輸入以下命令:

    netsh>rpc
    netsh rpc>filter
    netsh rpc filter>add rule layer=um actiontype=block
    netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
    netsh rpc filter>add filter
    netsh rpc filter>quit

廠商狀態:
==========
微軟已經提供了安全補丁以修復此安全漏洞,我們建議您使用Windows系統自帶的"Windows update"功能下載最新補丁。

您也可以通過微軟的安全公告選擇并安裝針對您所用系統的安全補丁:
http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx

附加信息:
==========
1. http://www.microsoft.com/technet/security/bulletin/ms08-067.mspx
2. http://www.us-cert.gov/cas/techalerts/TA08-297A.html
3. http://www.kb.cert.org/vuls/id/827267
4. http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx
5. http://secunia.com/advisories/32326/
6. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4250
7. http://www.uaeogq.live/index.php?act=alert&do=view&aid=94

聲 明
==========

本安全公告僅用來描述可能存在的安全問題,綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,綠盟科技以及安全公告作者不為此承擔任何責任。綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告,必須保證此安全公告的完整性,包括版權聲明等全部內容。未經綠盟科技允許,不得任意修改或者增減此安全公告內容,不得以任何方式將其用于商業目的。

關于綠盟科技
============

綠盟科技(NSFOCUS Co., Ltd.)是中國網絡安全領域的領導企業,致力于網絡和系統安全問題的研究、高端網絡安全產品的研發、銷售與網絡安全服務,在入侵檢測/保護、遠程評估、 DDoS攻擊防護等方面提供具有國際競爭能力的先進產品,是國內最具安全服務經驗的專業公司。有關綠盟科技的詳情請參見: http://www.nsfocus.com

© 2019 綠盟科技
重庆时时彩计划准不准 新式老虎机破解玩法 重庆时时彩投注平台 11选5规律 大众棋牌游戏官网充值 飞鱼开奖走势图 乐通老虎机游戏官网在线 北京pk10高手赌法 长期 十一选五怎么追号稳赚 江苏时时开奖视频 在南宁做什么餐饮赚钱 河北麻将作弊器免费版 养奶羊卖羊奶能赚钱吗