Windows Server version 2004 Windows Server version 1909 Windows Server version 1903 Windows Server version 1803 Windows Server 2019 Windows Server 2016, all editions Windows Server 2012 R2 Windows Server 2012 Windows Server 2008 R2 Windows Server 2008 Еще…Меньше
Эта статья относится только к следующим версиям Windows Server:
-
Windows Server версии 2004 (Установка ядра сервера)
-
Windows Server версии 1909 (Установка ядра сервера)
-
Windows Server версии 1903 (Установка ядра сервера)
-
Windows Server версии 1803 (Установка ядра сервера)
-
Windows Server 2019 (Установка ядра сервера)
-
Windows Server 2019
-
Windows Server 2016 (Установка ядра сервера)
-
Windows Server 2016
-
Windows Server 2012 R2 (Установка ядра сервера)
-
Windows Server 2012 R2
-
Windows Server 2012 (Установка ядра сервера)
-
Windows Server 2012
-
Windows Server 2008 R2 с пакетом обновления 1 (SP1) для 64-разрядных систем (установка основных серверных компонентов)
-
Windows Server 2008 R2 с пакетом обновления 1 (SP1) для 64-разрядных систем
-
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (Установка ядра сервера)
-
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)
-
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (Установка ядра сервера)
-
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)
Введение
14 июля 2020 г. Корпорация Майкрософт выпустила обновление для системы безопасности для устранения проблем, описанных в CVE-2020-1350 | Уязвимость удаленного выполнения кода в DNS-сервере Windows. В этой статье описано критическое уязвимое место удаленного выполнения кода (RCE), которое влияет на серверы Windows, настроенные на выполнение роли DNS-сервера. Корпорация Майкрософт настоятельно рекомендует администраторам сервера установить обновление для системы безопасности с самого раннего удобства.
Временное решение на основе реестра можно использовать для защиты соответствующего сервера Windows, и его можно реализовать, не требуя от администратора перезапуска сервера. Из-за этой уязвимости администраторам может потребоваться применить временное решение, прежде чем они будут применены к обновлению системы безопасности, чтобы они могли обновлять системы с помощью стандартной ритмичности развертывания.
Обходное решение
Важно!
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Перед тем как вносить изменения, создавайте резервную копию реестра для восстановления на случай возникновения проблем.
Чтобы обойти эту уязвимость, внесите указанные ниже изменения в реестр, чтобы ограничить размер максимально допустимого входящего пакета ответа DNS на основе TCP:
Клавиша: HKEY_LOCAL_MACHINE systemcurrentcontrolsetservicesdnsparameters
Value = TcpReceivePacketSize
Type = DWORD
Данные значения = 0xFF00
Примечания.
-
Значение, заданное по умолчанию (также Maximum), равно 0xFFFF.
-
Если это значение реестра вставлено или применено на сервере с помощью групповой политики, оно принимается, но фактически не будет установлено в качестве ожидаемого значения. Значение 0x не может быть введено в поле данных значения . Однако его можно вставить. При вставке значения получается десятичное значение 4325120.
-
Это временное решение применяет FF00 как значение, которое имеет десятичное значение 65280. Это значение равно 255 меньше максимально допустимого значения 65 535.
-
Чтобы изменения в реестре вступили в силу, необходимо перезапустить службу DNS. Для этого выполните следующую команду в командной строке с повышенными привилегиями:
net stop dns && net start dns
После того как решение будет применено, DNS-сервер Windows не сможет разрешить DNS-имена для своих клиентов, если размер ответа DNS на вышестоящем сервере превышает 65 280 байт.
Важные сведения об этом временном решении
Пакеты ответа DNS, превышающие рекомендуемое значение, будут отброшены без ошибок. Следовательно, возможно, что некоторые запросы могут не ответить. Это может привести к непредвиденному сбою. Это решение может отрицательно повлиять на DNS-сервер, только если он получает допустимые ответы TCP, превышающие разрешенные в ходе предыдущего устранения (более 65 280 байт).
Снижение значения скорее всего не влияет на стандартные развертывания или рекурсивные запросы. Тем не менее стандартный сценарий использования может существовать в данной среде. Чтобы определить, может ли реализация сервера негативно повлиять на этот обход, необходимо включить ведение журнала диагностики и захватить образец, который является представителем типичного рабочего процесса. После этого вам потребуется просмотреть файлы журнала, чтобы определить наличие нетипичных пакетов ответа TCP.
Дополнительные сведения можно найти в разделе ведение журнала DNS и диагностика.
Типичные вопросы
Временное решение доступно во всех версиях Windows Server, на которых выполняется роль DNS.
Мы подтвердили, что этот параметр реестра не влияет на передачу зон DNS.
Нет, оба варианта не являются обязательными. После установки обновления для системы безопасности система устраняет эту уязвимость. Временное решение на основе реестра обеспечивает защиту системы, если вы не можете немедленно установить обновление для системы безопасности и не хотите рассматривать его как замену обновлению для системы безопасности. После применения обновления временное решение больше не требуется и должно быть удалено.
Это решение совместимо с обновлением для системы безопасности. Однако после применения обновления изменения, внесенные в реестр, больше не потребуется. Рекомендации заключаются в том, что изменения в реестре удаляются, когда они больше не нужны, чтобы предотвратить возможные последствия в будущем, которые могут привести к запуску нестандартной конфигурации.
Корпорация Майкрософт рекомендует всем пользователям DNS-серверов устанавливать обновление для системы безопасности как можно скорее. Если вы не можете установить обновление прямо сейчас, вы сможете защитить среду до стандартной ритмичности для установки обновлений.
Нет. Параметр реестра специфичен для входящих пакетов ответов DNS на основе TCP и не является глобально влиянием системы на обработку сообщений TCP в целом.
Нужна дополнительная помощь?
Эксперты из компании Check Point сообщили о критической уязвимости DNS-серверов в Windows Server, получившей номер CVE-2020-1350 и критический рейтинг по шкале CVSS в 10 баллов.
Обнаруженная уязвимость настолько серьезна, что удостоилась получения специального имени — Sigred.
КТО ПОДВЕРЖЕН УЯЗВИМОСТИ?
Сервера Windows Server версий Windows Server 2008, Windows Server 2012,Windows Server 2016,Windows Server 2019, а также Windows Server version 1903,Windows Server version 1909;и Windows Server version 2004, включая доп. релизы (R2), в случае использования DNS-сервера в указанных операционных системах.
Особую опасность уязвимости придает тот факт, что как правило роль DNS-сервера часто совмещают с ролью контроллера домена Active Directory. Взломав такой сервер злоумышленник получает доступ к системе централизованной аутентификации пользователей.
Особенно опасно, если Windows Server с включенным DNS-сервером используется в качестве интернет-шлюза и может обрабатывать DNS-запросы из сети Интернет.
Ваша сеть также подвержена уязвимости, если Windows-сервер используется в качестве DNS-сервера у рабочих станций. Таким образом, переход пользователя на определенный сайт или вставка кода с доменом злоумышленников на зараженном сайте или в рекламной сети, сможет вызвать эксплуатирующий уязвимость DNS-запрос к вашему Windows-серверу.
ЧЕМ ГРОЗИТ УЯЗВИМОСТЬ?
Уязвимость относится к классу;»Удаленное выполнение кода (RCE)» и позволяет злоумышленникам с помощью специальным образом сформированного DNS-запроса, выполнить на сервере произвольный код.
Таким образом хакеры смогут:
- устанавливать вредоносное ПО для управления сервером,
- подменять ответы на DNS-запросы пользователей (таким образом, пользователь заходя на сайт online.sberbank.ru может быть перенаправлен на очень похожую фишинговую страницу),
- перехватывать электронные письма и сетевой трафик,
- использовать учетные данные сервера и пользователей для доступа к информационным ресурсам компании,
- распространять заражение на другие сервера локальной сети (действуя подобно сетевым червям, WannaCry, Conficker и другим).
ПОДРОБНЕЕ ОБ УЯЗВИМОСТИ
Уязвимость использует функцию переадресации DNS-запросов в случаях, когда DNS-сервер не может сам разрешить IP-адрес для запрашиваемого домена. При этом DNS-сервер перенаправляет запрос на NS-сервер (что соответствует архитектуре работы DNS-серверов).
Злоумышленники настраивают ответ от NS-сервера таким образом, чтобы он содержал более 64 кб данных (стандартным образом это невозможно из-за ограничения размера DNS-запросов, но злоумышленники используют механизмы сжатия DNS-имен). Обработка такого большого ответа может вызвать переполнение буфера в DNS-серверах Windows и произвольное выполнение кода.
Особенно опасен вариант применения уязвимости с помощью интернет-браузера. Заманив пользователя на определенный сайт, либо вставив вредоносный код на контролируемый злоумышленниками сайт (как правило порнографического или игрового характера), DNS-запрос к домену будет резолвится через Windows-сервер. Таким образом даже если ваш DNS-сервер не имеет выхода в Интернет и расположен внутри сетевого периметра, он все равно может попасть под атаку.
ИСПРАВЛЕНИЯ
Установите выпущенные Microsoft обновления для уязвимых операционных систем. Они доступны по ссылке.
Там же указан временный рецепт устранения уязвимости с помощью ограничения размера принимаемых DNS-пакетов.
С помощью редактора реестра добавьте параметр:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters DWORD = TcpReceivePacketSize Value = 0xFF00
И перезапустите DNS-сервер.
Но данный способ может вызвать некорректную обработку некоторых корректных DNS-запросов, поэтому используйте его только в случае невозможности установки обновления на сервер. И удалите этот ключ после установки обновлений.
РЕКОМЕНДАЦИИ ПО БЕЗОПАСНОСТИ ОТ АЙДЕКО
В систему предотвращения вторжений Ideco UTM мы добавили сигнатуру, блокирующую используемые в уязвимости DNS-запросы. Включите систему предотвращения в Ideco UTM, если ранее вы ее не использовали.
В журнале системы попытки эксплуатации уязвимости будут записаны в виде «ATTACK Windows Server DNS RCE aka SIGRed (CVE-2020-1350) — Query response».
Такой защиты достаточно, если Ideco UTM контролирует весь сетевой периметр и Windows-сервера не используют альтернативные интернет-шлюзы.
Дополнительные меры, которые повысят безопасность вашей сети к уязвимостям подобного рода:
- Включите перехват DNS-запросов в настройках DNS-сервера Ideco UTM.
- Windows-сервер даже при обращении к другим NS-серверам для резолвинга доменов, получит ответ от DNS-сервера Ideco UTM, «неправильные» запросы при этом будут отфильтрованы на нашем DNS-сервере.
- В Ideco UTM в качестве DNS-сервера используйте фильтрующие сервера от Яндекса или СкайДНС:
77.88.8.88 (безопасный сервер Яндекса)
77.88.8.2 (безопасный сервер Яндекса)
193.58.251.251 (фильтрующий сервер SkyDNS)
- Атакующие злоумышленники используют созданные ими домены для эксплуатации уязвимости. Облачные фильтрующие DNS-сервера обновляют базы таких доменов в реальном времени, поэтому они выдадут «заглушку» в качестве DNS-ответа, а не использующий эксплойт некорректный DNS-ответ с попыткой атаки.
- В качестве DNS-сервера у клиентов локальной сети используйте не контроллер домена, а DNS-сервер Ideco UTM.
- Наш сервер не подвержен данной и подобным уязвимостям, не отвечает на DNS-запросы из интернета, а также защищен системой предотвращения вторжений. Кроме того, мы используем Linux в качестве базовой операционной системы для модулей — распространение сетевых червей практически невозможно из-за гетерогенного характера сети.
- Для разрешения имен локального домена (прямой и обратной зоны) используются forward-зоны в DNS-сервере (создаются автоматически при вводе Ideco UTM в домен). Таким образом структура Active Directory будет работать полностью корректно.
- Заблокируйте сайты порнографического характера, онлайн-казино, зараженные и фишинговые сайты с помощью контент-фильтра в Ideco UTM.
- Это поможет сократить вектор возможных атак злоумышленников, т.к. они часто используют сайты подобного характера для эксплуатации новых эксплойтов.
Если вы еще не используете Ideco UTM, напомним, что развертывание сервера занимает всего 15-20 минут, а в течение 40 дней Ideco UTM работает с полным набором функций абсолютно бесплатно.
СКАЧАТЬ IDECO UTM 7.9
ПОДРОБНЕЕ ОБ УЯЗВИМОСТИ НА НАШЕМ YOUTUBE-КАНАЛЕ:
TOCTitle | Title | ms:assetid | ms:contentKeyID | ms:mtpsurl |
---|---|---|---|---|
MS11-030 |
Бюллетень по безопасности (Майкрософт) MS11-030 — Критическое |
ms11-030 |
61237021 |
https://technet.microsoft.com/ru-RU/library/ms11-030(v=Security.10) |
Security Bulletin
Уязвимость при разрешении DNS делает возможным удаленное выполнение кода (2509553)
Дата публикации: 12 апреля 2011 г. | Дата обновления: 13 марта 2012 г.
Версия: 1.1
Общие сведения
Аннотация
Данное обновление для системы безопасности устраняет обнаруженную пользователями уязвимость при разрешении DNS-имен в Windows. Эта уязвимость делает возможным удаленное выполнение кода, если злоумышленник получает доступ к сети, а затем создает программу для рассылки целевым системам специально созданных широковещательных запросов LLMNR. Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов корпоративной среды. Согласно лучшим методикам, на подключенных к Интернету системах рекомендуется держать открытыми лишь минимально необходимое количество портов. В данном случае на всех портах LLMNR следует включить блокировку входящего интернет-трафика.
Это обновление для системы безопасности имеет уровень серьезности «критический» для всех поддерживаемых выпусков Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 и уровень серьезности «существенный» для всех поддерживаемых выпусков Windows XP и Windows Server 2003. Дополнительные сведения см. в подразделе Подвержены и не подвержены уязвимости этого раздела.
Это обновление для системы безопасности устраняет уязвимость, исправляя способ обработки клиентом DNS специально созданных DNS-запросов. Дополнительные сведения об этой уязвимости см. в подразделе «Часто задаваемые вопросы» для соответствующей уязвимости в следующем ниже разделе Сведения об уязвимости.
Рекомендация. У большинства клиентов включено автоматическое обновление, поэтому нет необходимости предпринимать какие-либо действия: данное обновление для системы безопасности загрузится и установится автоматически. Клиентам, у которых не включено автоматическое обновление, необходимо проверить наличие обновлений и установить это обновление вручную. Дополнительные сведения об особых параметрах конфигурации автоматического обновления см. в статье 294871 базы знаний Майкрософт.
Предприятиям, а также администраторам и конечным пользователям, желающим применить данное обновление для системы безопасности вручную, корпорация Майкрософт рекомендует сделать это немедленно, используя соответствующее ПО для управления обновлениями либо проверив наличие обновлений в Центре обновления Майкрософт.
См. также раздел Руководство и средства по диагностике и развертыванию этого бюллетеня.
Известные проблемы.В статье 2509553 базы знаний Майкрософт описаны известные на данный момент проблемы, с которыми пользователи могут столкнуться при установке этого обновления для системы безопасности. В этой статье также приводятся решения, рекомендованные для устранения этих проблем.
Подвержены и не подвержены уязвимости
Следующие продукты были проверены на наличие уязвимости в тех или иных версиях и выпусках. Прочие версии или выпуски не подвержены уязвимости, либо жизненные циклы их поддержки истекли. Сведения о жизненных циклах поддержки версий или выпусков используемых программных продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.
Подвержены уязвимости
Операционная система | Максимальное воздействие уязвимости | Общий уровень серьезности | Бюллетени, заменяемые этим обновлением |
---|---|---|---|
Windows XP с пакетом обновления 3 (SP3) | Несанкционированное получение прав | Существенный | MS08-020, MS08-037 MS08-066 |
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Несанкционированное получение прав | Существенный | MS08-020, MS08-037 MS08-066 |
Windows Server 2003 с пакетом обновления 2 (SP2) | Несанкционированное получение прав | Существенный | MS08-020, MS08-037 MS08-066 |
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Несанкционированное получение прав | Существенный | MS08-020, MS08-037 MS08-066 |
Windows Server 2003 for Itanium-based Systems с пакетом обновления 2 (SP2) | Несанкционированное получение прав | Существенный | MS08-020, MS08-037 MS08-066 |
Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2) | Удаленное выполнение кода | Критический | Нет |
Windows Vista x64 Edition с пакетом обновления 1 (SP1) и Windows Vista x64 Edition с пакетом обновления 2 (SP2) | Удаленное выполнение кода | Критический | Нет |
Windows Server 2008 для 32-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем* | Удаленное выполнение кода | Критический | Нет |
Windows Server 2008 для 64-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем* | Удаленное выполнение кода | Критический | Нет |
Windows Server 2008 for Itanium-based Systems и Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2) | Удаленное выполнение кода | Критический | Нет |
Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Удаленное выполнение кода | Критический | Нет |
Windows 7 для компьютеров на базе x64-процессоров и Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | Удаленное выполнение кода | Критический | Нет |
Windows Server 2008 R2 для компьютеров на базе x64-процессоров и Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)* | Удаленное выполнение кода | Критический | Нет |
Windows Server 2008 R2 for Itanium-based Systems и Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) | Удаленное выполнение кода | Критический | Нет |
*Уязвимости подвержены системы, при развертывании которых устанавливалось только ядро сервера. Это обновление (с одинаковым уровнем серьезности) применяется к указанным выше поддерживаемым выпускам Windows Server 2008 или Windows Server 2008 R2 независимо от наличия установленных основных компонентов сервера. Дополнительные сведения об этом варианте установки см. в статьях TechNet, Управление ядром сервера: установка (на английском языке) и Обслуживание установки ядра сервера (на английском языке). Обратите внимание, что установка только ядра сервера недоступна в определенных выпусках Windows Server 2008 и Windows Server 2008 R2; подробности см. в статье Сравнение параметров установки ядра сервера.
Часто задаваемые вопросы о данном обновлении безопасности
Где находятся дополнительные сведения о файлах?
Местонахождение дополнительных сведений о файлах см. в справочных таблицах раздела Развертывание обновления для системы безопасности.
Я использую более раннюю версию программного обеспечения, описанного в этом бюллетене по безопасности. Что мне нужно сделать?
Продукты, перечисленные в этом бюллетене, проверены на наличие уязвимости в тех или иных версиях. Жизненные циклы поддержки прочих версий программного обеспечения истекли. Дополнительные сведения о жизненном цикле продуктов см. на веб-странице сроков поддержки продуктов Майкрософт.
Пользователям более ранних версий программного обеспечения следует срочно перейти на поддерживаемые версии, чтобы снизить вероятность наличия в системе уязвимостей. Чтобы определить стадии жизненного цикла поддержки для вашего выпуска программного обеспечения, перейдите на веб-страницу Выберите продукт для отображения информации о стадиях жизненного цикла. Дополнительные сведения о пакетах обновления для этих выпусков программного обеспечения см. на веб-странице Пакеты обновления, поддерживаемые на стадиях жизненного цикла.
Для получения сведений о возможных вариантах обслуживания более ранних версий программного обеспечения свяжитесь с представителем группы по работе с заказчиками корпорации Майкрософт, ее техническим менеджером или представителем соответствующей партнерской компании Майкрософт. Пользователи, у которых нет договора типа Alliance, Premier или Authorized, могут обратиться в местное представительство корпорации Майкрософт. Для получения контактной информации посетите веб-сайт Microsoft Worldwide Information, выберите страну в списке «Контактная информация» и нажмите кнопку Go (Перейти), чтобы просмотреть список телефонных номеров. Дозвонившись, попросите связать вас с менеджером по продажам службы поддержки Premier. Дополнительные сведения см. в разделе Часто задаваемые вопросы о политике поддержки продуктов Майкрософт на разных стадиях жизненного цикла.
Сведения об уязвимости
Уровни серьезности и идентификаторы уязвимостей
Указанные ниже уровни серьезности подразумевают максимальное потенциальное воздействие уязвимости. Дополнительные сведения о возможности использования уязвимости в соответствии с уровнем ее опасности и воздействия в течение 30 дней с момента выпуска данного бюллетеня по безопасности см. в указателе использования уязвимостей апрельского обзора бюллетеней. Дополнительные сведения см. в индексе использования уязвимостей.
Уровень серьезности уязвимости и максимальное воздействие на систему безопасности
Подвержены уязвимости | Уязвимость, связанная с DNS-запросами (CVE-2011-0657) | Общий уровень серьезности |
---|---|---|
Windows XP с пакетом обновления 3 (SP3) | Существенный Несанкционированное получение прав |
Существенный |
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Существенный Несанкционированное получение прав |
Существенный |
Windows Server 2003 с пакетом обновления 2 (SP2) | Существенный Несанкционированное получение прав |
Существенный |
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Существенный Несанкционированное получение прав |
Существенный |
Windows Server 2003 for Itanium-based Systems с пакетом обновления 2 (SP2) | Существенный Несанкционированное получение прав |
Существенный |
Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2) | Критический Удаленное выполнение кода |
Критический |
Windows Vista x64 Edition с пакетом обновления 1 (SP1) и Windows Vista x64 Edition с пакетом обновления 2 (SP2) | Критический Удаленное выполнение кода |
Критический |
Windows Server 2008 для 32-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 32-разрядных систем* | Критический Удаленное выполнение кода |
Критический |
Windows Server 2008 для 64-разрядных систем и Windows Server 2008 с пакетом обновления 2 (SP2) для 64-разрядных систем* | Критический Удаленное выполнение кода |
Критический |
Windows Server 2008 for Itanium-based Systems и Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2) | Критический Удаленное выполнение кода |
Критический |
Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Критический Удаленное выполнение кода |
Критический |
Windows 7 для компьютеров на базе x64-процессоров и Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | Критический Удаленное выполнение кода |
Критический |
Windows Server 2008 R2 для компьютеров на базе x64-процессоров и Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1)* | Критический Удаленное выполнение кода |
Критический |
Windows Server 2008 R2 for Itanium-based Systems и Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) | Критический Удаленное выполнение кода |
Критический |
*Уязвимости подвержены системы, при развертывании которых устанавливалось только ядро сервера. Это обновление (с одинаковым уровнем серьезности) применяется к указанным выше поддерживаемым выпускам Windows Server 2008 или Windows Server 2008 R2 независимо от наличия установленных основных компонентов сервера. Дополнительные сведения об этом варианте установки см. в статьях TechNet, Управление ядром сервера: установка (на английском языке) и Обслуживание установки ядра сервера (на английском языке). Обратите внимание, что установка только ядра сервера недоступна в определенных выпусках Windows Server 2008 и Windows Server 2008 R2; подробности см. в статье Сравнение параметров установки ядра сервера.
Уязвимость, связанная с DNS-запросами (CVE-2011-0657)
В способе обработки клиентской службой DNS особым образом созданных запросов LLMNR существует уязвимость, делающая возможным удаленное выполнение кода. Воспользовавшийся ею злоумышленник сможет запустить произвольный код в контексте учетной записи NetworkService. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами.
Чтобы просмотреть стандартную запись об этой уязвимости в списке «Common Vulnerabilities and Exposures», см. CVE-2011-0657.
Смягчающие факторы для уязвимости, связанной с DNS-запросами (CVE-2011-0657)
К смягчающим факторам относятся параметр, стандартная конфигурация или общие рекомендации, которые при использовании по умолчанию могут снизить опасность использования уязвимости. Следующие смягчающие факторы могут снизить опасность использования уязвимости.
- В Windows Vista Windows 7 при активации сетевого профиля «Публичный» система не подвержена данной уязвимости, поскольку ненадежные входящие пакеты блокируются по умолчанию.
- Стандартные параметры конфигурации брандмауэра позволяют защитить сеть от атак из-за пределов корпоративной среды. Согласно лучшим методикам, на подключенных к Интернету системах рекомендуется держать открытыми лишь минимально необходимое количество портов. В данном случае на всех портах LLMNR следует включить блокировку входящего интернет-трафика. См. ниже часто задаваемые вопросы о блокировке TCP-порта 5355 и UDP-порта 5355 на брандмауэре.
Временные решения для уязвимости, связанной с DNS-запросами (CVE-2011-0657)
К временным решениям относятся изменения параметров или конфигурации, не приводящие к полному устранению уязвимости, но позволяющие блокировать известные направления атак до того, как будет установлено обновление. Корпорация Майкрософт проверила представленные ниже временные решения и сообщила, снижают ли они функциональные возможности.
-
Блокировка TCP-порта 5355 и UDP-порта 5355 в брандмауэре
Эти порты используются для установки соединения с уязвимым компонентом. Их блокировка на брандмауэре организации позволяет защитить системы за брандмауэром от возможных попыток воспользоваться уязвимостью. Для предотвращения возможных атак через другие порты корпорация Майкрософт рекомендует блокировать весь непредусмотренный входящий трафик из Интернета. Дополнительные сведения о портах см. на веб-странице Назначения портов TCP и UDP. Дополнительные сведения о брандмауэре Windows см. в статье Настройка брандмауэра Windows на одном компьютере.
Побочные эффекты использования временного решения. Блокировка подключений к этим портам помогает избежать использования данной уязвимости в системах, защищенных брандмауэром.
Отмена временного решения. Разблокировка TCP-порта 5355 и UDP-порта 5355 в брандмауэре Дополнительные сведения о портах см. на веб-странице Назначения портов TCP и UDP.
-
Отключение разрешения имен по протоколу LLMNR (Link-Local Multicast Name Resolution) с помощью групповой политики
Чтобы отключить разрешение имен по протоколу LLMNR с помощью групповой политики, выполните указанные ниже действия.
- Откройте редактор групповых политик.
- Раскройте ветви Конфигурация компьютера, Административные шаблоны, Сеть и выберите DNS-клиент.
- Дважды щелкните Отключить многоадресное разрешение имен, выберите переключатель Включить, а затем нажмите кнопку ОК.
Побочные эффекты использования временного решения. Другие компьютеры сети могут перестать видеть данный компьютер.
Отмена временного решения.
Чтобы снова включить разрешение имен по протоколу LLMNR с помощью групповой политики, выполните указанные ниже действия.
- Откройте редактор групповых политик.
- Раскройте ветви Конфигурация компьютера, Административные шаблоны, Сеть и выберите DNS-клиент.
- Дважды щелкните Отключить многоадресное разрешение имен, выберите переключатель Отключить, а затем нажмите кнопку ОК.
-
Отключение сетевого обнаружения
Чтобы отключить сетевое обнаружение, выполните указанные ниже действия.
- Откройте панель управления.
- Выберите Сеть и Интернет, Центр управления сетями и общим доступом, а затем перейдите по ссылке Изменить дополнительные параметры общего доступа.
- В разделе «Сетевое обнаружение» установите переключатель Отключить сетевое обнаружение, а затем нажмите кнопку Сохранить изменения.
Побочные эффекты использования временного решения. Другие компьютеры сети могут перестать видеть данный компьютер.
Отмена временного решения.
Чтобы снова включить сетевое обнаружение, выполните указанные ниже действия.
- Откройте панель управления.
- Выберите Сеть и Интернет, Центр управления сетями и общим доступом, а затем перейдите по ссылке Изменить дополнительные параметры общего доступа.
- В разделе «Сетевое обнаружение» установите переключатель Включить сетевое обнаружение, а затем нажмите кнопку Сохранить изменения.
Часто задаваемые вопросы об уязвимости, связанной с DNS-запросами (CVE-2011-0657)
Какова область воздействия этой уязвимости?
В системах Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 это уязвимость делает возможным удаленное выполнение кода. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может выполнить код в контексте учетной записи NetworkService.
В Windows XP и Windows Server 2003 существует уязвимость несанкционированного получения прав. Злоумышленник с учетными данными пользователя может воспользоваться данной уязвимостью для несанкционированного получения прав. Это может позволить злоумышленнику выполнить код в контексте учетной записи NetworkService.
В чем причина уязвимости?
Эта уязвимость вызвана способом, который DNS-клиент используется для обработки специально созданных запросов LLMNR.
Какой компонент подвержен этой уязвимости?
Данной уязвимости подвержен компонент DNSAPI.dll.
Что может сделать злоумышленник, который воспользуется этой уязвимостью?
Воспользовавшийся ею злоумышленник сможет запустить произвольный код в контексте учетной записи NetworkService. После этого злоумышленник сможет устанавливать программы, просматривать, изменять и уничтожать данные или создавать новые учетные записи с неограниченными правами.
Каким образом злоумышленник может воспользоваться этой уязвимостью?
В системах Windows Vista, Windows Server 2008, Windows 7 и Windows Server 2008 R2 воспользовавшемуся уязвимостью злоумышленнику требуется доступ к сети. Злоумышленник может создать программу для рассылки целевым системам специально созданных широковещательных запросов LLMNR.
В операционных системах Windows XP и Windows Server 2003 для использования этой уязвимости злоумышленник должен войти в систему. После этого он может запустить специально созданное приложение, которое позволит воспользоваться уязвимостью и повысить уровень прав злоумышленника до уровня учетной записи NetworkService.
Возможно ли удаленное использование этой уязвимости в операционных системах Windows XP и Windows Server 2003?
Нет. LLMNR не поддерживается в Windows XP или Windows Server 2003. Данная уязвимость DNS-контроллер домена существует и в этих системах. Ее можно использовать только локально, запустив специально созданное приложение.
Что такое LLMNR?
Link-local Multicast Name Resolution (LLMNR) — новый протокол, предоставляющий дополнительные методы разрешения имен соседних компьютеров. LLMNR особенно полезен в сетях без DNS-сервер. LLMNR используется простой обмен запросами и ответными сообщениями для разрешения имен компьютеров до адресов протокола IP версии 6 (IPv6) или 4 (IPv4). Дополнительные сведения о LLMNR см. в статье Microsoft TechNet Разрешение имен по протоколу LLMNR.
Какие системы в первую очередь подвержены риску?
В первую очередь риску подвергаются рабочие станции и серверы терминалов. Серверы могут быть подвержены большему риску, если администраторы позволяют пользователям входить в систему на сервере и запускать программы. Однако общепринятой практикой настоятельно рекомендуется не предоставлять пользователям таких полномочий.
Как действует обновление?
Это обновление устраняет уязвимость, исправляя способ обработки клиентом DNS специально созданных DNS-запросов.
Была ли эта уязвимость опубликована до выпуска этого бюллетеня безопасности?
Нет. Корпорация Майкрософт получила сведения об этой уязвимости из надежных источников.
Получала ли корпорация Майкрософт к моменту выпуска этого бюллетеня по безопасности какие-либо сведения о том, что уязвимость была использована злоумышленниками?
Нет. Корпорация Майкрософт не получала никакой информации, указывающей на то, что до выпуска этого бюллетеня по безопасности данная уязвимость была открыто использована для организации атак на пользовательские компьютеры.
Сведения об обновлении
Руководство и средства по диагностике и развертыванию
В центре безопасности
Управление программным обеспечением и обновлениями для системы безопасности, которые развертываются на серверах, настольных и мобильных компьютерах организации. Дополнительные сведения см. на веб-сайте Центра управления обновлениями TechNet. Дополнительные сведения о безопасности продуктов корпорации Майкрософт см. на веб-сайте Microsoft TechNet Security.
Обновления для системы безопасности доступны в Центре обновления Майкрософт и Центре обновления Windows. Обновления для системы безопасности также доступны в Центре загрузки Майкрософт. Самый простой способ найти обновление — выполнить поиск по ключевому слову «security update».
Наконец, обновления для системы безопасности можно загрузить из каталога Центра обновления Майкрософт. Он обеспечивает возможность поиска содержимого (в том числе обновлений для системы безопасности, драйверов и пакетов обновления), которое предоставляется через Центр обновления Windows и Центр обновления Майкрософт. При поиске по номеру бюллетеня по безопасности (например, MS07-036) можно добавлять необходимые обновления (в том числе на различных языках) в корзину и загружать их в указанную папку. Дополнительные сведения см. на веб-сайте каталога Центра обновления Майкрософт в разделе вопросов и ответов.
Руководство по диагностике и развертыванию
Корпорация Майкрософт предоставляет руководство по диагностике и развертыванию обновлений для системы безопасности. В этом руководстве содержатся рекомендации и сведения, позволяющие ИТ-специалистам оптимальнее использовать различные средства для диагностики и развертывания обновлений для системы безопасности. Дополнительные сведения см. в статье 961747 базы знаний Майкрософт.
Анализатор безопасности Microsoft Baseline Security Analyzer
Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA) позволяет администраторам проверять локальные и удаленные системы с целью выявления неустановленных обновлений для системы безопасности и типичных ошибок в конфигурации системы безопасности. Дополнительные сведения об анализаторе безопасности MBSA см. на веб-странице Анализатор Microsoft Baseline Security Analyzer.
В следующей таблице приведены сведения об обнаружении данного обновления безопасности с помощью программы MBSA.
Программное обеспечение | Анализатор MBSA |
---|---|
Windows XP с пакетом обновления 3 (SP3) | Да |
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Да |
Windows Server 2003 с пакетом обновления 2 (SP2) | Да |
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Да |
Windows Server 2003 for Itanium-based Systems с пакетом обновления 2 (SP2) | Да |
Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2) | Да |
Windows Vista x64 Edition с пакетом обновления 1 (SP1) и Windows Vista x64 Edition с пакетом обновления 2 (SP2) | Да |
Windows Server 2008 для 32-разрядных систем и Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) | Да |
Windows Server 2008 для 64-разрядных систем и Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) | Да |
Windows Server 2008 for Itanium-based Systems и Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2) | Да |
Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Да |
Windows 7 для компьютеров на базе x64-процессоров и Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | Да |
Windows Server 2008 R2 для компьютеров на базе x64-процессоров и Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | Да |
Windows Server 2008 R2 for Itanium-based Systems и Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) | Да |
Примечание. Пользователям старого программного обеспечения, не поддерживаемого последней версией анализатора MBSA, Центром обновления Майкрософт и службами WSUS: посетите веб-страницу анализатора безопасности Microsoft Baseline Security Analyzer и в разделе «Legacy Product Support» (Поддержка устаревших программных продуктов) прочтите инструкции по настройке комплексного обнаружения обновлений безопасности с помощью старых инструментов.
Службы Windows Server Update Services
Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать последние обновления продуктов Майкрософт на компьютерах под управлением операционной системы Windows. Дополнительные сведения о развертывании обновлений для системы безопасности с помощью служб Windows Server Update Services см. в статье TechNet Windows Server Update Services.
Сервер Systems Management Server
В следующей таблице приведены сведения об обнаружении и развертывании данного обновления для системы безопасности с помощью программы SMS.
Программное обеспечение | SMS 2.0 | SMS 2003 со средством SUIT | SMS 2003 со средством ITMU | Диспетчер конфигураций 2007 |
---|---|---|---|---|
Windows XP с пакетом обновления 3 (SP3) | Да | Да | Да | Да |
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows Server 2003 с пакетом обновления 2 (SP2) | Да | Да | Да | Да |
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows Server 2003 for Itanium-based Systems с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows Vista с пакетом обновления 1 (SP1) и Windows Vista с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows Vista x64 Edition с пакетом обновления 1 (SP1) и Windows Vista x64 Edition с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows Server 2008 для 32-разрядных систем и Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows Server 2008 для 64-разрядных систем и Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows Server 2008 for Itanium-based Systems и Windows Server 2008 for Itanium-based Systems с пакетом обновления 2 (SP2) | Нет | Нет | Да | Да |
Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1) | Нет | Нет | Да | Да |
Windows 7 для компьютеров на базе x64-процессоров и Windows 7 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | Нет | Нет | Да | Да |
Windows Server 2008 R2 для компьютеров на базе x64-процессоров и Windows Server 2008 R2 для компьютеров на базе x64-процессоров с пакетом обновления 1 (SP1) | Нет | Нет | Да | Да |
Windows Server 2008 R2 for Itanium-based Systems и Windows Server 2008 R2 for Itanium-based Systems с пакетом обновления 1 (SP1) | Нет | Нет | Да | Да |
Для обнаружения обновлений для системы безопасности серверами SMS 2.0 и SMS 2003 может использоваться средство SUIT (Security Update Inventory Tool). См. также веб-страницу Загружаемые компоненты для сервера Systems Management Server 2.0.
Сервер SMS 2003 может использовать средство SMS 2003 Inventory Tool for Microsoft Updates, чтобы обнаруживать обновления для системы безопасности, предлагаемые в Центре обновления Майкрософт и поддерживаемые службами Windows Server Update Services. Дополнительные сведения о SMS 2003 ITMU см. на веб-странице средства SMS 2003 ITMU. Дополнительные сведения о средствах сканирования SMS см. на веб-странице средств сканирования обновлений ПО для сервера SMS 2003. См. также веб-страницу загружаемых компонентов для сервера Systems Management Server 2003.
Диспетчер конфигураций System Center Configuration Manager 2007 использует службы WSUS 3.0 для обнаружения обновлений. Дополнительные сведения об управлении обновлениями программного обеспечения с помощью диспетчера конфигураций System Center Configuration Manager 2007 см. на веб-странице System Center Configuration Manager 2007.
Для получения дополнительных сведений о SMS посетите веб-сайт SMS.
Дополнительные сведения см. в статье 910723 базы знаний Майкрософт. Обзор ежемесячных статей руководства по диагностике и развертыванию.
Средство оценки совместимости обновлений и набор средств для обеспечения совместимости приложений
Часто обновления записываются в одни те же файлы, а для запуска приложений требуется настроить параметры реестра. Это приводит к возникновению несовместимостей и увеличивает время, затрачиваемое на развертывание обновлений для системы безопасности. Облегчить тестирование и проверку обновлений Windows для установленных приложений можно с помощью компонентов оценки совместимости обновлений, входящих в состав набора средств для обеспечения совместимости приложений.
Набор средств для обеспечения совместимости приложений содержит необходимые средства и документацию для выявления проблем совместимости приложений и уменьшения степени воздействия этих проблем перед развертыванием системы Microsoft Windows Vista, обновлений из Центра обновления Windows, обновлений с веб-сайта безопасности Майкрософт или новой версии проводника.
Развертывание обновления для системы безопасности
Подвержены уязвимости
Чтобы получить сведения о нужной версии обновления для системы безопасности, щелкните соответствующую ссылку.
Windows XP (все выпуски)
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.
Включение в будущие пакеты обновления | Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления |
Развертывание | |
Установка обновления без участия пользователя | Для Windows XP с пакетом обновления 3 (SP3): WindowsXP-KB2509553-x86-enu.exe /quiet |
Для Windows XP Professional x64 Edition с пакетом обновления 2 (SP2): WindowsServer2003.WindowsXP-KB2509553-x64-enu.exe /quiet |
|
Установка обновления без перезагрузки компьютера | Для Windows XP с пакетом обновления 3 (SP3): WindowsXP-KB2509553-x86-enu.exe /norestart |
Для Windows XP Professional x64 Edition с пакетом обновления 2 (SP2): WindowsServer2003.WindowsXP-KB2509553-x64-enu.exe /norestart |
|
Обновление файла журнала | KB2509553.log |
Дополнительные сведения | См. подраздел Руководство и средства по диагностике и развертыванию |
Необходимость перезагрузки | |
Требуется перезагрузка? | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Функция Hotpatching | Не применимо |
Сведения об удалении | Используйте средство Установка и удаление программ панели управления или служебную программу Spuninst.exe, которая находится в папке %Windir%$NTUninstallKB2509553$Spuninst |
Сведения о файлах | См. статью 2509553 базы знаний Майкрософт |
Проверка разделов реестра | Для всех поддерживаемых 32-разрядных версий Windows XP: HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows XPSP4KB2509553Filelist |
Для всех поддерживаемых 64-разрядных (x64) версий Windows XP: HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows XP Version 2003SP3KB2509553Filelist |
Примечание. Для поддерживаемых версий Windows XP Professional x64 Edition используется то же обновление для системы безопасности, что и для поддерживаемых версий Windows Server 2003 x64 Edition.
Сведения о развертывании
Установка обновления
При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.
Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.
Дополнительные сведения об установщике см. в статье 832475 базы знаний Майкрософт.
Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.
Обновление для системы безопасности поддерживает следующие параметры установки.
Поддерживаемые параметры установки обновления для системы безопасности
Параметр | Описание |
---|---|
**/help** | Отображает параметры командной строки. |
Режимы установки | |
**/passive** | Режим автоматической установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о том, что перезагрузка компьютера будет выполнена через 30 секунд. |
**/quiet** | Тихий режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках. |
Параметры перезагрузки | |
**/norestart** | После установки перезагрузка компьютера не выполняется. |
**/forcerestart** | Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов. |
**/warnrestart[:x]** | Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию: 30 секунд.) Используется с параметрами **/quiet** или **/passive**. |
**/promptrestart** | Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку. |
Специальные параметры | |
**/overwriteoem** | Заменяет файлы OEM без вывода соответствующего запроса. |
**/nobackup** | Не создает резервных копий файлов на случай удаления. |
**/forceappsclose** | Завершает работу других программ перед выключением компьютера. |
**/log:путь** | Обеспечивает переадресацию файлов журнала установки. |
**/integrate:путь** | Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре. |
**/extract[:путь]** | Извлекает файлы без запуска программы установки. |
**/ER** | Создает расширенные отчеты об ошибках. |
**/verbose** | Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки. |
Примечание. Можно использовать несколько этих параметров в одной команде. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.
Удаление обновления
Обновление для системы безопасности поддерживает следующие параметры установки.
Поддерживаемые параметры Spuninst.exe
Параметр | Описание |
---|---|
**/help** | Отображает параметры командной строки. |
Режимы установки | |
**/passive** | Режим автоматической установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о том, что перезагрузка компьютера будет выполнена через 30 секунд. |
**/quiet** | Тихий режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках. |
Параметры перезагрузки | |
**/norestart** | После окончания установки перезагрузка компьютера не выполняется |
**/forcerestart** | Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов. |
**/warnrestart[:x]** | Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию: 30 секунд.) Используется с параметрами **/quiet** или **/passive**. |
**/promptrestart** | Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку. |
Специальные параметры | |
**/forceappsclose** | Завершает работу других программ перед выключением компьютера. |
**/log:путь** | Обеспечивает переадресацию файлов журнала установки. |
Проверка успешного применения обновления
-
Анализатор безопасности Microsoft Baseline Security Analyzer
Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.
-
Проверка версий файлов
Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.
- Нажмите кнопку Пуск и выберите пункт Найти.
- На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
- В поле Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы и нажмите Найти.
- В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства.
Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. - На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах.
Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, в отдельных случаях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
-
Проверка разделов реестра
Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.
Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.
Windows Server 2003 (все выпуски)
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.
Включение в будущие пакеты обновления | Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления |
Развертывание | |
Установка обновления без участия пользователя | Для всех поддерживаемых 32-разрядных выпусков Windows Server 2003: WindowsServer2003-KB2509553-x86-enu.exe /quiet |
Для всех поддерживаемых 64-разрядных выпусков Windows Server 2003: WindowsServer2003.WindowsXP-KB2509553-x64-enu.exe /quiet |
|
Для всех поддерживаемых выпусков Windows Server 2003 для систем на базе процессоров Itanium: WindowsServer2003-KB2509553-ia64-enu.exe /quiet |
|
Установка обновления без перезагрузки компьютера | Для всех поддерживаемых 32-разрядных выпусков Windows Server 2003: WindowsServer2003-KB2509553-x86-enu.exe /norestart |
Для всех поддерживаемых 64-разрядных выпусков Windows Server 2003: WindowsServer2003.WindowsXP-KB2509553-x64-enu.exe /norestart |
|
Для всех поддерживаемых выпусков Windows Server 2003 для систем на базе процессоров Itanium: WindowsServer2003-KB2509553-ia64-enu.exe /norestart |
|
Обновление файла журнала | KB2509553.log |
Дополнительные сведения | См. подраздел Руководство и средства по диагностике и развертыванию |
Необходимость перезагрузки | |
Требуется перезагрузка? | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Функция Hotpatching | Данное обновление безопасности не поддерживает горячее обновление HotPatching. Дополнительные сведения о функции HotPatching см. в статье 897341 базы знаний Майкрософт. |
Сведения об удалении | Используйте средство Установка и удаление программ панели управления или служебную программу Spuninst.exe, которая находится в папке %Windir%$NTUninstallKB2509553$Spuninst |
Сведения о файлах | См. статью 2509553 базы знаний Майкрософт |
Проверка разделов реестра | HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdatesWindows Server 2003SP3KB2509553Filelist |
Сведения о развертывании
Установка обновления
При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.
Если один из файлов был обновлен ранее другим исправлением, установщик копирует на компьютер файлы RTMQFE, SP1QFE и SP2QFE. В противном случае будут скопированы файлы RTMGDR, SP1GDR или SP2GDR. Обновления для системы безопасности могут не содержать всех этих вариантов. Дополнительную информацию о поведении такого рода см. в статье 824994 базы знаний Майкрософт.
Дополнительные сведения об установщике см. в статье 832475 базы знаний Майкрософт.
Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.
Обновление для системы безопасности поддерживает следующие параметры установки.
Поддерживаемые параметры установки обновления для системы безопасности
Параметр | Описание |
---|---|
**/help** | Отображает параметры командной строки. |
Режимы установки | |
**/passive** | Режим автоматической установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о том, что перезагрузка компьютера будет выполнена через 30 секунд. |
**/quiet** | Тихий режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках. |
Параметры перезагрузки | |
**/norestart** | После установки перезагрузка компьютера не выполняется. |
**/forcerestart** | Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов. |
**/warnrestart[:x]** | Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию: 30 секунд.) Используется с параметрами **/quiet** или **/passive**. |
**/promptrestart** | Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку. |
Специальные параметры | |
**/overwriteoem** | Заменяет файлы OEM без вывода соответствующего запроса. |
**/nobackup** | Не создает резервных копий файлов на случай удаления. |
**/forceappsclose** | Завершает работу других программ перед выключением компьютера. |
**/log:путь** | Обеспечивает переадресацию файлов журнала установки. |
**/integrate:путь** | Интегрирует обновление в исходные файлы Windows. Путь доступа к этим файлам указан в параметре. |
**/extract[:путь]** | Извлекает файлы без запуска программы установки. |
**/ER** | Создает расширенные отчеты об ошибках. |
**/verbose** | Обеспечивает подробное протоколирование в журнале. Во время установки создает журнал %Windir%\CabBuild.log. В этом журнале приводится информация о копируемых файлах. Использование этого параметра может замедлить процесс установки. |
Примечание. Можно использовать несколько этих параметров в одной команде. Для обеспечения обратной совместимости обновлениями безопасности поддерживаются параметры, которые использовались в программе установки более ранней версии. Дополнительные сведения о поддерживаемых параметрах установки см. в статье 262841 базы знаний Майкрософт.
Удаление обновления
Обновление для системы безопасности поддерживает следующие параметры установки.
Поддерживаемые параметры Spuninst.exe
Параметр | Описание |
---|---|
**/help** | Отображает параметры командной строки. |
Режимы установки | |
**/passive** | Режим автоматической установки. Вмешательства пользователя не требуется, но отображается состояние установки. Если по окончании установки требуется перезагрузка, на экране отобразится диалоговое окно, предупреждающее пользователя о том, что перезагрузка компьютера будет выполнена через 30 секунд. |
**/quiet** | Тихий режим. Режим, аналогичный автоматическому, но без отображения состояния или сообщений об ошибках. |
Параметры перезагрузки | |
**/norestart** | После установки перезагрузка компьютера не выполняется. |
**/forcerestart** | Перезагружает компьютер после установки и при выключении компьютера принудительно закрывает все приложения без предварительного сохранения открытых файлов. |
**/warnrestart[:x]** | Отображает диалоговое окно, предупреждающее пользователя, что компьютер будет перезагружен через *x* секунд. (Значение по умолчанию: 30 секунд.) Используется с параметрами **/quiet** или **/passive**. |
**/promptrestart** | Выводит диалоговое окно, запрашивающее у локального пользователя разрешение на перезагрузку. |
Специальные параметры | |
**/forceappsclose** | Завершает работу других программ перед выключением компьютера. |
**/log:путь** | Обеспечивает переадресацию файлов журнала установки. |
Проверка успешного применения обновления
-
Анализатор безопасности Microsoft Baseline Security Analyzer
Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.
-
Проверка версий файлов
Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.
- Нажмите кнопку Пуск и выберите пункт Найти.
- На панели Результаты поиска в области Помощник по поиску выберите пункт Файлы и папки.
- В поле Часть имени или имя файла целиком введите имя файла из соответствующей справочной таблицы и нажмите Найти.
- В списке файлов щелкните правой кнопкой мыши имя файла из соответствующей таблицы сведений о файлах и выберите Свойства.
Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. - На вкладке Версия определите версию файла, установленного на компьютере, сравнив ее с версией, приведенной в таблице сведений о файлах.
Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, в отдельных случаях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления.
-
Проверка разделов реестра
Файлы, установленные этим обновлением для системы безопасности, также можно проверить в разделах реестра, перечисленных в справочной таблице данного раздела.
Эти разделы реестра могут не содержать полного списка установленных файлов. Кроме того, эти разделы реестра могут быть созданы неправильно, если администратор или сборщик систем интегрируют или добавляют данное обновление для системы безопасности в исходные установочные файлы Windows.
Windows Vista (все выпуски)
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.
Включение в будущие пакеты обновления | Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления |
Развертывание | |
Установка обновления без участия пользователя | Для всех поддерживаемых 32-разрядных версий Windows Vista: Windows6.0-KB2509553-x86.msu /quiet |
Для всех поддерживаемых версий Windows XP Professional x64 Edition: Windows6.0-KB2509553-x64.msu /quiet |
|
Установка обновления без перезагрузки компьютера | Для всех поддерживаемых 32-разрядных версий Windows Vista: Windows6.0-KB2509553-x86.msu /quiet /norestart |
Для всех поддерживаемых версий Windows XP Professional x64 Edition: Windows6.0-KB2509553-x64.msu /quiet /norestart |
|
Дополнительные сведения | См. подраздел Руководство и средства по диагностике и развертыванию |
Необходимость перезагрузки | |
Требуется перезагрузка? | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Функция Hotpatching | Не применимо. |
Сведения об удалении | Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе «Центр обновления Windows» выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений. |
Сведения о файлах | См. статью 2509553 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Сведения о развертывании
Установка обновления
При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.
Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.
Обновление для системы безопасности поддерживает следующие параметры установки.
Параметр | Описание |
---|---|
/?, /h, /help | Вывод справки о поддерживаемых параметрах. |
/quiet | Подавление отображения сообщений о состоянии или ошибке. |
/norestart | При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. |
Примечание . Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.
Проверка успешного применения обновления
-
Анализатор безопасности Microsoft Baseline Security Analyzer
Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.
-
Проверка версий файлов
Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.
- Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск.
- Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.
- Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.
Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. - Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.
Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, в отдельных случаях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления. - Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.
Windows Server 2008, все выпуски
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.
Включение в будущие пакеты обновления | Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления |
Развертывание | |
Установка обновления без участия пользователя | Для всех поддерживаемых 32-разрядных версий Windows Server 2008: Windows6.0-KB2509553-x86.msu /quiet |
Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008: Windows6.0-KB2509553-x64.msu /quiet |
|
Все поддерживаемые выпуски Windows Server 2008 для систем на базе процессоров Itanium Windows6.0-KB2509553-ia64.msu /quiet |
|
Установка обновления без перезагрузки компьютера | Для всех поддерживаемых 32-разрядных версий Windows Server 2008: Windows6.0-KB2509553-x86.msu /quiet /norestart |
Для всех поддерживаемых 64-разрядных (x64) версий Windows Server 2008: Windows6.0-KB2509553-x64.msu /quiet /norestart |
|
Все поддерживаемые выпуски Windows Server 2008 для систем на базе процессоров Itanium Windows6.0-KB2509553-ia64.msu /quiet /norestart |
|
Дополнительные сведения | См. подраздел Руководство и средства по диагностике и развертыванию |
Необходимость перезагрузки | |
Требуется перезагрузка? | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Функция Hotpatching | Не применимо. |
Сведения об удалении | Программа WUSA.exe не поддерживает удаление обновлений. Чтобы удалить обновление, установленное программой WUSA, в панели управления откройте раздел Безопасность. В разделе «Центр обновления Windows» выберите пункт Просмотр установленных обновлений и выберите нужное из списка обновлений. |
Сведения о файлах | См. статью 2509553 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Сведения о развертывании
Установка обновления
При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.
Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.
Обновление для системы безопасности поддерживает следующие параметры установки.
Параметр | Описание |
---|---|
/?, /h, /help | Вывод справки о поддерживаемых параметрах. |
/quiet | Подавление отображения сообщений о состоянии или ошибке. |
/norestart | При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. |
Примечание . Дополнительные сведения об установщике wusa.exe см. в статье 934307 базы знаний Майкрософт.
Проверка успешного применения обновления
-
Анализатор безопасности Microsoft Baseline Security Analyzer
Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.
-
Проверка версий файлов
Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.
- Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск.
- Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.
- Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.
Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. - Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.
Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, в отдельных случаях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления. - Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.
Windows 7 (все выпуски)
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.
Включение в будущие пакеты обновления | Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления |
Развертывание | |
Установка обновления без участия пользователя | Для всех поддерживаемых 32-разрядных выпусков Windows 7: Windows6.1-KB2509553-x86.msu /quiet |
Для всех поддерживаемых 64-разрядных (x64) выпусков Windows 7: Windows6.1-KB2509553-x64.msu /quiet |
|
Установка обновления без перезагрузки компьютера | Для всех поддерживаемых 32-разрядных выпусков Windows 7: Windows6.1-KB2509553-x86.msu /quiet /norestart |
Для всех поддерживаемых 64-разрядных (x64) выпусков Windows 7: Windows6.1-KB2509553-x64.msu /quiet /norestart |
|
Дополнительные сведения | См. подраздел Руководство и средства по диагностике и развертыванию |
Необходимость перезагрузки | |
Требуется перезагрузка? | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Функция Hotpatching | Не применимо. |
Сведения об удалении | Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе «Центр обновления Windows» щелкните Просмотр установленных обновлений и выберите в списке нужные обновления. |
Сведения о файлах | См. статью 2509553 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Сведения о развертывании
Установка обновления
При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.
Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.
Обновление для системы безопасности поддерживает следующие параметры установки.
Параметр | Описание |
---|---|
/?, /h, /help | Вывод справки о поддерживаемых параметрах. |
/quiet | Подавление отображения сообщений о состоянии или ошибке. |
/norestart | При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. |
/warnrestart:<секунды> | При использовании вместе с параметром /quiet установщик предупреждает пользователя перед запуском перезагрузки. |
/promptrestart | При использовании вместе с параметром /quiet установщик выдает запрос перед запуском перезагрузки. |
/forcerestart | При использовании вместе с параметром /quiet установщик принудительно закрывает приложения и запускает перезагрузку. |
/log:<имя файла> | Включается ведение журнала в указанном файле. |
/extract:<назначение> | Содержимое пакетов извлекается в указанную папку назначения. |
/uninstall /kb:<номер в базе знаний> | Удаление обновления для системы безопасности. |
Примечание. Дополнительные сведения об установщике wusa.exe см. в разделе «Автономный установщик обновлений Windows» статьи TechNet Другие изменения в Windows 7.
Проверка успешного применения обновления
-
Анализатор безопасности Microsoft Baseline Security Analyzer
Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.
-
Проверка версий файлов
Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.
- Нажмите кнопку Пуск и затем введите имя файла обновления в поле Поиск.
- Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.
- Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.
Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. - Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.
Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, в отдельных случаях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления. - Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.
Windows Server 2008 R2 (все выпуски)
Вспомогательная таблица
В приведенной ниже таблице приведены сведения об обновлении для системы безопасности данного программного обеспечения. Дополнительные сведения см. в подразделе Сведения о развертывании данного раздела.
Включение в будущие пакеты обновления | Обновление для устранения этой уязвимости будет включено в следующий пакет обновления или накопительный пакет обновления |
Развертывание | |
Установка обновления без участия пользователя | Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2: Windows6.1-KB2509553-x64.msu /quiet |
Для всех поддерживаемых выпусков Windows Server 2008 R2 для систем на базе процессоров Itanium: Windows6.1-KB2509553-ia64.msu /quiet |
|
Установка обновления без перезагрузки компьютера | Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2: Windows6.1-KB2509553-x64.msu /quiet /norestart |
Для всех поддерживаемых выпусков Windows Server 2008 R2 для систем на базе процессоров Itanium: Windows6.1-KB2509553-ia64.msu /quiet /norestart |
|
Дополнительные сведения | См. подраздел Руководство и средства по диагностике и развертыванию |
Необходимость перезагрузки | |
Требуется перезагрузка? | После установки данного обновления для системы безопасности компьютер необходимо перезагрузить. |
Функция Hotpatching | Не применимо. |
Сведения об удалении | Чтобы удалить обновление, установленное программой WUSA, воспользуйтесь параметром установки /Uninstall или откройте панель управления, выберите Система и безопасность, а затем в разделе «Центр обновления Windows» щелкните Просмотр установленных обновлений и выберите в списке нужные обновления. |
Сведения о файлах | См. статью 2509553 базы знаний Майкрософт |
Проверка разделов реестра | Примечание. Раздел реестра, позволяющий проверить наличие этого обновления, не существует. |
Сведения о развертывании
Установка обновления
При установке этого обновления для системы безопасности проверяется, не выполнялось ли обновление этого файла (файлов) ранее с помощью исправления Microsoft.
Подробнее о терминологии, встречающейся в этом бюллетене, например о том, что такое исправление, см. в статье 824684 базы знаний Майкрософт.
Обновление для системы безопасности поддерживает следующие параметры установки.
Параметр | Описание |
---|---|
/?, /h, /help | Вывод справки о поддерживаемых параметрах. |
/quiet | Подавление отображения сообщений о состоянии или ошибке. |
/norestart | При вводе с параметром /quiet система не перезагрузится после установки, даже если для ее завершения требуется перезагрузка. |
/warnrestart:<секунды> | При использовании вместе с параметром /quiet установщик предупреждает пользователя перед запуском перезагрузки. |
/promptrestart | При использовании вместе с параметром /quiet установщик выдает запрос перед запуском перезагрузки. |
/forcerestart | При использовании вместе с параметром /quiet установщик принудительно закрывает приложения и запускает перезагрузку. |
/log:<имя файла> | Включается ведение журнала в указанном файле. |
/extract:<назначение> | Содержимое пакетов извлекается в указанную папку назначения. |
/uninstall /kb:<номер в базе знаний> | Удаление обновления для системы безопасности. |
Примечание. Дополнительные сведения об установщике wusa.exe см. в разделе «Автономный установщик обновлений Windows» статьи TechNet Другие изменения в Windows 7.
Проверка успешного применения обновления
-
Анализатор безопасности Microsoft Baseline Security Analyzer
Для проверки успешного применения обновления безопасности можно воспользоваться средством Microsoft Baseline Security Analyzer (MBSA). Дополнительные сведения см. выше в разделе Руководство и средства по диагностике и развертыванию данного бюллетеня.
-
Проверка версий файлов
Эти действия зависят от установленного выпуска Microsoft Windows. В случае затруднений для выполнения процедуры обратитесь к документации по установленной версии продукта.
- Нажмите кнопку Пуск и затем введите имя файла обновления в поле Начать поиск.
- Когда файл появится в меню Программы, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства.
- Сравните размер файла на вкладке Общие с данными таблиц сведений о файлах, приведенных в разделе статьи базы знаний этого бюллетеня.
Примечание. В зависимости от выпуска операционной системы или имеющихся на компьютере программ некоторые файлы из таблицы сведений о файлах могут быть не установлены. - Также можно открыть вкладку Дополнительно и сравнить версии файлов и дату их изменения с данными, приведенными в таблицах сведений о файлах раздела статьи базы знаний этого бюллетеня.
Примечание. Все атрибуты, кроме версии файла, в ходе установки могут изменяться. Проверка того, что обновление было применено, путем сравнения других атрибутов файла с данными из таблицы сведений о файлах не поддерживается. Кроме того, в отдельных случаях файлы в ходе установки могут быть переименованы. Если сведения о файле или версии отсутствуют, обратитесь к другим доступным методам проверки установки обновления. - Наконец, также можно открыть вкладку Предыдущие версии и сравнить предыдущие версии файлов с данными о новых или обновленных версиях.
Прочие сведения
Благодарности
Корпорация Майкрософт благодарит за проведенную совместно работу по защите пользователей:
- Нила Мехту (Neel Mehta) из Google Inc. за сообщение об уязвимости, связанной с DNS-запросами (CVE-2011-0657)
Программа Microsoft Active Protections Program (MAPP)
Чтобы повысить уровень защиты пользователей, корпорация Майкрософт предоставляет сведения об уязвимостях крупным поставщикам программного обеспечения безопасности перед ежемесячным выпуском обновлений. Эта информация необходима им для усовершенствования программного обеспечения и оборудования для защиты пользователей (антивирусных программ, сетевых систем обнаружения вторжений, а также индивидуальных систем предотвращения вторжений). Сведения о новых средствах защиты, предоставляемых поставщиками программного обеспечения безопасности, доступны на соответствующих веб-сайтах партнеров, перечисленных в списке партнеров MAPP.
Поддержка
- Пользователи из США и Канады могут обратиться в службу поддержки по вопросам безопасности или позвонить по телефону 1-866-PCSAFETY. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Дополнительные сведения о вариантах поддержки см. на веб-странице справки и поддержки корпорации Майкрософт.
- Пользователям в других странах для получения поддержки следует обращаться в местные представительства корпорации Майкрософт. Звонки, связанные с обновлениями безопасности, обслуживаются бесплатно. Для получения дополнительных сведений о службе поддержки корпорации Майкрософт посетите веб-сайт международной поддержки.
Заявление об отказе
Сведения в статьях базы знаний Майкрософт предоставляются без каких-либо гарантий. Корпорация Майкрософт не предоставляет каких-либо гарантий, явных или подразумеваемых, включая любые гарантии товарности или пригодности для использования в определенных целях. Корпорация Майкрософт и ее поставщики ни при каких обстоятельствах не несут ответственности за возможный ущерб, включая косвенный, случайный, прямой, опосредованный и специальный ущерб, а также упущенную выгоду, даже если корпорация Майкрософт или ее поставщики заранее были извещены о возможности такого ущерба. Если действующее законодательство не допускает отказа от ответственности за косвенный или случайный ущерб, то описанные выше ограничения не действуют.
Редакции
- Версия 1.0 (12 апреля 2011): Бюллетень опубликован.
- Вер. 1.1 (13 марта 2012): В подраздел «Известные проблемы» раздела «Аннотация» добавлена ссылка на статью 2509553 базы знаний Майкрософт.
Built at 2014-04-18T01:50:00Z-07:00
Компания Microsoft сообщила об уязвимости CVE-2020-1350 в DNS-сервере Windows. Что плохо: уязвимость получила оценку в 10 баллов по шкале CVSS, то есть рейтинг «критическая». Что хорошо: злоумышленники могут использовать эту уязвимость, только если система работает в режиме DNS-сервера, то есть число потенциально подверженных машин невелико. К тому же компания уже выпустила заплатки и опубликовала обходное решение.
Что это за уязвимость и чем она опасна?
Уязвимость CVE-2020-1350 позволяет заставить DNS-серверы, работающие под управлением Windows Server, удаленно выполнить вредоносный код. Иными словами, она относится к классу RCE. Для того чтобы проэксплуатировать уязвимость, злоумышленникам достаточно послать DNS-серверу специальным образом сгенерированный запрос.
Посторонний код будет исполняться в контексте учетной записи Local System Account. Эта запись имеет обширные привилегии на локальном компьютере, а в сети действует как компьютер. К тому же Local System Account не распознается подсистемой обеспечения безопасности. По словам Microsoft, основная опасность уязвимости заключается в том, что она может быть использована для распространения угрозы по локальной сети, то есть классифицируется как Wormable.
Кто в зоне риска из-за CVE-2020-1350?
Уязвимы все версии Windows Server, но только если они работают в режиме DNS-сервера. Если в вашей компании нет DNS-сервера или же используется DNS-сервер на базе другой операционной системы, то вам волноваться не о чем.
К счастью, уязвимость была обнаружена исследователями из Check Point Research, и подробной информации о том, как ее можно эксплуатировать, в открытом доступе пока нет. Кроме того, на данный момент нет и никаких свидетельств того, что CVE-2020-1350 когда-либо эксплуатировали злоумышленники.
Однако весьма вероятно, что сразу после того, как Microsoft опубликовала инструкции по обновлению системы, злоумышленники начали внимательно изучать DNS-серверы и патчи и пытаться определить, как же эту уязвимость можно проэксплуатировать. Поэтому с установкой заплатки лучше не тянуть.
Что делать?
Лучше всего — установить патч, который модифицирует метод обработки запросов DNS-серверами Windows. Заплатка доступна для систем семейств Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, а также Windows Server version 1903, Windows Server version 1909 и Windows Server version 2004. Скачать ее можно на странице с объяснением этой уязвимости.
Однако поскольку в некоторых крупных компаниях существуют внутренние правила и установленный ритм обновления программного обеспечения, некоторые администраторы могут не иметь возможности установить патч немедленно. Чтобы их DNS-серверы не остались под угрозой, компания также предложила обходной путь. Он заключается во внесении следующих правок в системный реестр:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters
DWORD = TcpReceivePacketSize
Value = 0xFF00
После сохранения изменений сервер следует перезапустить. Однако этот обходной путь может потенциально приводить к некорректной работе сервера в тех редких случаях, когда сервер получит TCP-пакет размером более 65280 байт. Так что, когда патч все-таки будет установлен, Microsoft рекомендует удалить переменную TcpReceivePacketSize вместе с ее значением и вернуть запись реестра к исходному состоянию.
Мы же со своей стороны хотим напомнить, что работающий в вашей инфраструктуре DNS-сервер — точно такой же компьютер, как и все остальные. В них точно также находят уязвимости, которые злоумышленники могут эксплуатировать. Поэтому, как и любые другие конечные точки в сети, его нужно защищать при помощи надежных решений, таких как Kaspersky Security для бизнеса.
Дэн Каминский (Dan Kaminsky) обнаружил критическую уязвимость в принципе работы большинства DNS серверов (проблема дизайна протокола), позволяющую добиться помещения не соответствующих реальности данных в кэш DNS сервера, работающего в роли рекурсивного резолвера.
Например, злоумышленник может инициировать помещение в кэш DNS сервера некорректного IP для резолвинга определенного домена, который будет выдан клиенту при последующем запросе информации о заданном хосте.
Проблеме присвоен максимальный уровень опасности, рекомендуется как можно скорее установить обновление. Частичным утешением может выступить тот факт, что полное описание новой техники DNS спуффинга будет опубликовано Дэном Каминским на конференции «Black Hat», которая состоится 7 августа.
Организация ISC уже выпустила обновление BIND 9.5.0-P1, BIND 9.4.2-P1 и BIND 9.3.5-P1, а также опубликовала специальный пресс-релиз, в котором подчеркнута серьезность проблемы и необходимость скорейшего обновления. К сожалению исправление существенно понижает производительность сервера, что особенно начинает проявляться при нагрузке в 10 тыс. запросов в секунду и выше. В бета версиях 9.5.1b1/9.4.3b2 начато тестирование оптимизированного варианта исправления, который должен частично решить возникшие проблемы с производительностью. Тем не менее, полную защиту от данного вида атак может обеспечить только использование DNSSEC.
Проверить DNS сервер на уязвимость можно на данной странице. Доступность исправлений для различных платформ можно узнать здесь. Кроме BIND, в настоящий момент уязвимость подтверждена в Cisco IOS, Juniper JunOS, Microsoft Windows DNS Server. Проблема отсутствует в PowerDNS (резолвер выделен в отдельный продукт PowerDNS Recursor, об уязвимости которого ничего не сообщается).
Оригинал
Статья с http://www.securitylab.ru:
Краткое предисловие
DNS является одним из самых критичных компонентов сети Интернет, поэтому уязвимости в серверах имен всегда вызывали повышенный интерес у злоумышленников. 8-9 июля многие производители выпустили исправления, устраняющие фунаментальную ошибку, которая позволяет злоумышленнику произвести спуфинг атаку. Дэн Камински в своем блоге http://www.doxpara.com/?p=1165 опубликовал более подробное описание уязвимости и сделал доступным эксплоит.
В чем заключается уязвимость?
Уязвимость существует из-за того, что DNS сервер использует предсказуемый номер порта для отправки DNS запросов. Злоумышленник может угадать номер порта, который используется для отправки данных, и с помощью специально сформированного ложного DNS-ответа подменить данные в кеше DNS сервера.
Для подтверждения наличия уязвимости можно воспользоваться эксплоитами и утилитой:
BIND 9.4.1-9.4.2 Remote DNS Cache Poisoning Flaw Exploit (meta)
BIND 9.x Remote DNS Cache Poisoning Flaw Exploit (py)
Утилита http://www.onzra.com/CacheAudit-Latest.tgz
Насколько опасна уязвимость?
Спуфинг атака – атака, направленная в первую очередь на клиента, а не на сервер. Уязвимость, которую мы сейчас обсуждаем, неспособна дать повышенные привилегии на уязвимой системе или выполнить произвольный код, но в сочетании с другими незначительными ошибками программного обеспечения или социальной инженерией, может стать очень опасным инструментом в руках злоумышленника.
В тестах, которые проводил Камински, ему удалось отравить кеш сервера имен приблизительно за 5-10 секунд. Эта уязвимость позволяет атакующему перезаписать данные, которые уже находятся в кеше сервера. Сервера имен, которые являются только авторитетными, не подвержены этой уязвимости. Установка высокого значения TTL для ваших хостов на авторитетном сервере не помешает злоумышленнику отравить кеш уязвимых резолверов, так как атака обходит защиту TTL.
Уязвимость затрагивает также и клиентские библиотеки (рабочие станции и сервера, которые обращаются к вышестоящим серверам имен) и может быть проведена против одиночного хоста. Также, некоторые МСЭ с функционалом трансляции адресов, рассчитанные на домашний сектор, используют предсказуемые номера для порта источника запросов, что позволяет злоумышленнику удачно произвести атаку, даже если было установлено исправление на сервер имен или клиент.
Итак, подытожим:
- Отравление кеша DNS сервера можно произвести довольно быстро (5-10 секунд)
- Злоумышленник может изменить данные, которые уже находятся в кеше сервера
- Уязвимость может использоваться как против сервера имен, так и против рабочей станции.
- Сервера и рабочие станции, которые находятся за бюджетными МСЭ с включенным NAT, подвержены уязвимости не зависимо от установленных исправлений.
- Эксплоит находится в публичном доступе.
- Целью атаки может стать любой промежуточный DNS сервер на пути к авторитетному серверу или DNS клиент. Это означает, что если вышестоящий DNS сервер уязвим, то не зависимо от наличия исправлений на ваших серверах, вы можете стать жертвой атаки.
Векторы атаки
Как я уже писал выше, спуфинг атака – атака, направлена на клиента, а не на сервер. Злоумышленник может:
- произвести фишинг атаку и получить доступ к важным данным
- произвести атаку типа «Человек посередине» и получить доступ к потенциально важным данным (паролям, номерам кредитных карт и другим данным, которые вы передаете).
- используя уязвимость в ПО, получить доступ к важным данным и даже скомпрометировать целевую систему (например, из-за недостаточной проверки подлинности сервера при установке обновлений приложения, при перенаправлении пользователя на специально сформированный сайт и т.д.).
Исправления
Для устранения уязвимости необходимо установить исправления не только на хосты, которые находятся под вашим контролем, но и на все сервера имен, которые участвуют в обмене данными, иначе всегда будет существовать возможность спуфинг атаки.
Исправления доступны для Windows, Linux, UNIX и других систем. Для получения исправления обратитесь к соответствующему производителю. Список производителей доступен по адресу: http://www.kb.cert.org/vuls/id/800113
Выводы
Уязвимость достаточно опасна и может эксплуатироваться как против сервера, так и против клиента. Исправления хотя и существуют, но установлены далеко не везде. Армагеддон, конечно же не наступает, но у злоумышленников появилась дополнительное преимущество, которым они не постесняются воспользоваться в последующих атаках на ваши сети.
Ссылки:
- Теория и настройка DNS сервера (bind) на FreeBSD
- Записи типа “Pointer”. Домен IN-ADDR.ARPA. Делегирование “обратных” зон. Инверсные запросы.
Похожие статьи:
- Не найдено
Загрузка…
Эта статья размещена admin 09.07.2008 в 11:56 в рубриках Новости. Метки: DNS, Новости.
Вы можете оставить отзыв или trackback с вашего собственного сайта. Отслеживайте все отзывы и комментарии к этой статье при помощи новостной ленты RSS.