用于 Windows Media Services 的ISAPI 扩展中的缺陷可能导致拒绝服务 (817772) 初始发布日期：2003年5月28日 -------------------------------------------------------------------------------- 本页内容： 摘要 详细技术资料 常见问题解答 有关该修补程序的附加信息 其他信息 -------------------------------------------------------------------------------- 摘要 本公告的读者对象： 运行 Microsoft&reg; Windows NT 4.0 或 Microsoft Windows 2000 的系统管理员 安全漏洞的影响： 拒绝服务 最高严重等级： 中等 建议： 系统管理员应在尽可能最早的时间安装此修补程序 受影响的软件: Microsoft Windows NT 4.0 Microsoft Windows 20000 不受影响的软件： Microsoft Windows XP Microsoft Windows Server 2003 详细技术资料 技术说明： Microsoft Windows Media Services 是 Microsoft Windows 2000 Server、Advanced Server 和 Datacenter Server 的一项功能，您也可以在 Windows NT 4.0 Server 上下载和运行该功能。Windows Media Services 支持一种通过网络将媒体内容传递给用户的方法，即众所周知的多播流。但是在多播流中，服务器和登录此服务器的用户之间不存在直接通讯。为解决这个问题，Windows 2000 为多播和单播传输增加了日志功能。 此功能是作为 Internet 服务应用程序编程接口 (ISAPI) 扩展 - nsiislog.dll 实现的。当 Windows NT 4.0 Server 安装了 Windows Media Services 或者通过添加/删除程序方法在 Windows 2000 上安装了 Windows Media Services 之后，nsiislog.dll 就被安装在服务器的 Internet Information Services (IIS) Scripts 目录中。 nsiislog.dll 处理传入请求的方式存在缺陷。存在漏洞是因为攻击者能够向服务器发送特殊格式的通讯，这会导致 IIS 停止响应 Internet 请求。 默认情况下 Windows 2000 并不安装 Windows Media Services，在 Windows NT 4.0 上也必须下载 Windows Media Services 然后才能安装。企图利用此漏洞的攻击者需要知道网络上的哪些计算机安装了 Windows Media Services，然后就向服务器发出特殊请求。拒绝服务只对 IIS 有影响，服务器的其他服务不会受到影响。 减轻影响的因素： 默认情况下 Windows 2000 并不安装 Windows Media Services 4.1，在 Windows NT 4.0 上也必须下载 Windows Media Services 4.1 然后才能安装。 Windows 2000 Professional 或 Windows NT 4.0 Workstation 不能使用 Windows Media Services。 攻击者需要知道网络上的哪台服务器安装了 Windows Media Services。 严重等级： Windows NT 4.0：中等 Windows 2000：中等 上面的评估是基于受漏洞影响的系统类型、典型的部署模式以及利用漏洞对它们产生的影响作出的。 漏洞标识符：CAN-2002-xxxx 测试过的版本： Microsoft 对 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server 2003 进行了测试，以便评估它们是否受这些漏洞的影响。此前的版本不再受支持，它们可能会也可能不会受这些漏洞的影响。 常见问题解答 问：该漏洞的范围有多大？ 答：这是一个错误！超级链接引用无效漏洞。成功利用了该漏洞的攻击者能够导致 Windows 2000 或 Windows NT 4.0 服务器停止响应 Web 页请求。 问：攻击者如何能利用该漏洞？ 答：通过建立一个特殊的网络请求，并将它发送给服务器，让服务器执行日志记录，这样攻击者就能寻找到利用该漏洞的机会了。攻击者若想导致服务器停止响应 IIS 请求，就需要知道网络或 Internet 上的哪台服务器正在记录日志。 问：攻击者能利用该漏洞做什么？ 答：攻击者利用该漏洞可以导致运行 IIS 并启用流媒体日志记录的计算机拒绝服务。 问：该漏洞是由什么问题引起的？ 答：此漏洞是由于 nsiislog.dll 文件记录日志时使用未经检查的缓冲区造成的。如果向该服务器发送一个特殊的请求，该日志文件就会尝试写一个比所能提供的缓冲区更大的缓冲区，这就导致了 IIS 日志记录服务的失败。没有日志记录服务，IIS 将不会对传入的请求作出响应。 问：什么是 nsiislog.dll？ 答：Nsiislog.dll 是一个 IIS ISAPI 扩展，它是 Windows 2000 Server 和 Advanced Server 附带的一个组件，为 Microsoft Media Services 的媒体流提供日志功能。 问：哪些版本的 IIS 可能会受到含有漏洞的 nsiislog.dll 版本的影响？ 答：含有漏洞的 nsiislog.dll 版本能够在 IIS 4.0 和 5.0 上安装。 问：哪些产品附带 IIS 4.0 和 5.0？ 答： Internet Information Server 4.0 是 Windows NT 4.0 Option Pack (NTOP) 的附带组件。 Internet Information Service 5.0 是 Windows 2000 Datacenter Server、Advanced Server、Server 和 Professional 的附带组件。 问：默认情况下运行 IIS 4.0 和 5.0 吗？ 答： 当 Windows NT 4.0 服务器安装了 NTOP 时，默认情况下运行 IIS 4.0。当 Windows NT 4.0 工作站安装了 NTOP 时，默认情况下不运行 IIS 4.0，除非在安装 IIS 4.0 时已经运行 Peer Web Services。 在所有的 Windows 2000 服务器产品上，默认情况下都运行 IIS 5.0。在 Windows 2000 Professional 上默认情况下不运行 IIS 5.0。 问：什么是 Microsoft Windows Media Services？ 答：Windows Media Services 是 Windows 2000 Server、Advanced Server 和 Datacenter Server 的一项功能，用以通过企业内部网和 Internet 提供流音频和流视频服务。此外，它还有一个可下载版本能够安装在 Windows NT 4.0 上。 问：我能够将 Windows Media Services 安装到 Windows 2000 Professional 或 Windows NT 4.0 Workstation 上吗？ 答：不能 - Windows Media Services 只适用于 Microsoft Windows Server 操作系统，如 Windows 2000 Server、Advanced Server 和 Datacenter Server 或 Windows NT 4.0 Server。 问：什么是多播媒体流？ 答：多播媒体流是一种通过网络为客户传送媒体内容的方法。与单播媒体流方法相反，多播会向那些发出请求的用户发送一份数据副本。这种方法不会通过网络发送多个数据副本，也不会让那些不需要它的用户处理数据。有关多播媒体流的详细信息，请访问以下 Web 站点： http://www.microsoft.com/windows/windowsmedia/serve/multiwp.aspx 问：我怎样才能确定有人已经为我的计算机设置了多播流媒体日志记录功能？ 答：要确定您的计算机是否已经被配置了多播流媒体日志记录功能，请执行下列步骤： 在“开始”菜单中，单击“查找”。 单击“文件或文件夹” 在查找对话框中，键入文件名 NSIISLOG.DLL 单击“开始查找”。 如果 NSIISLOG.DLL 文件出现在 IIS 共享的任何目录中，那么服务器已经配置了日志记录功能。 问：修补程序能做什么？ 答：该修复通过确保 Nsiislog.dll 正确地响应请求而消除了拒绝服务攻击的可能。 获取修补程序 该修补程序的下载位置 Microsoft <产品>：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=YYYYYY 有关该修补程序的附加信息 安装平台： Windows NT 4.0 修补程序能够在运行 Service Pack 6a 的系统上安装。 Windows 2000 修补程序可以在运行 Windows 2000 Service Pack 2 或 Service Pack 3 的系统上安装。 包括在将来的 Service Pack 中： 此问题的修复程序将包括在 Windows 2000 Service Pack 4 中。 是否需要重新启动：否。 修补程序能否卸载：否。 替代修补程序：无。 验证修补程序安装： 要证实已将修补程序安装到计算机上，请确认已在计算机上创建如下注册表项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\\\Updates\\Windows Media Services\\wm817772 要检查单个的文件，请使用知识库文章 817772 中提供的日期/时间和版本信息。 注意事项：无 本地化：此修补程序的本地化版本可从“获取修补程序”中所述的位置获得。 获取其他安全修补程序： 有关其他安全问题的修补程序可从以下位置获得： 安全修补程序可以从 Microsoft 下载中心获得，通过执行“security_patch”关键字搜索即可方便地找到。 有关客户平台的修补程序可从 WindowsUpdate Web 站点获得。 其他信息 Microsoft 感谢 Brett Moore 向我们报告了此问题并与我们一起致力于保护客户的利益： 支持： Microsoft 知识库文章 817772 讨论了此问题，此公告发布大约 24 小时后会提供该文章。知识库文章可以在 Microsoft 在线支持 Web 站点上找到。 技术支持可以从 Microsoft 产品支持服务 获得。与安全修补程序相关的支持电话是免费的。 安全性资源：Microsoft TechNet Security Web 站点提供有关 Microsoft 产品安全性的附加信息。 免责声明： Microsoft 知识库中的信息是按“原样”提供的，不带任何形式的担保。Microsoft 否认所有明示或暗示的担保，包括适销性和针对特定目的的适用性的担保。即使 Microsoft Corporation 或其供应商事先已被告知损害发生的可能性，Microsoft Corporation 或其供应商也不就任何直接、间接、意外或必然的企业利润损失或特殊损害承担任何责任。一些州不允许免除或限制对必然或意外损害所负的责任，因此上述限制可能不适用。 修订版本： V1.0（2003 年 5 月 28 日）：创建公告。