MSExchage2000的可怕弱点之cpu强占100%
来源:互联网
作者:west263.com
时间:2008-02-23
西部数码-全国虚拟主机10强!40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!
| 今天单位邮件系统出现异常,状况表现为:用户端收发邮件缓慢,服务器端cpu资源使用一直保持100%。 |
单位邮件服务器软件和硬件配置如下: 硬件:P4 1600、512M、60G 软件:Win2k Advanced SVR 、MSExchange2k等 经过分析,结果分享如下: 漏洞说明: Microsoft Security Bulletin MS02-025: Malformed Mail Attribute can Cause Exchange 2000 to Exhaust CPU Resources ( Q320436 ) 事件描述: 谁应该阅读此篇文档:使用Microsoft Exchange2000系统管理者。 受影响的地方:阻断服务(Denial of service)。 风险值:紧急。 建议:安装修正程式/补丁 有关此修正程式的相关资讯能够参考下列网址:唉!好好看吧 http://www.microsoft.com/technet/security/bulletin/MS02-025.asp 影响平台: MS Exchange2000 弱点详述: 为了支援电子邮件能在不同的平台上进行交换,Exchange messages使用RFC文档821&822所定义的SMTP mail messages规格。Exchange2000在处理所收到电子邮件的某几个变异的RFC message规格上有一个漏洞,当Exchange2000收到包含上述的某几个变异的RFC message时,Store service会耗尽100%的CPU可用资源来处理这些message。倒~~真笨 bitsCN.Com 这会造成一个安全上的弱点,攻击者能够利用这个弱点对系统进行阻断服务攻击(denial of service),攻击者能够直接连线到Exchage手动地传递一个变异的RFC message,当变异的message接到并由Store service进行理时,CPU的使用率保持在100%,只要Exchage Store service仍在处理这个讯息,攻击的影响就会一直持续,重新启动information Store service或重新开机才能停止这个阻断服务的攻击。 弱点减轻要素: 透过这个弱点来进行攻击是暂时性的,一旦服务器完成message的处理,服务器便会恢复正常运作,但我单位的服务器我等了他一个下午,还在那儿一个劲的处理,也不嫌烦:( 所以说一旦服务器开始处理该讯息便无法中断,即使是重新开机。 但这个弱点不会提供任何让攻击者取得系统上资料或使攻击者提升权限的能力。 一个成功的攻击,攻击者必须手支新增攻击的message并传送给目标主机,大多经由一些仿造的Server连线,不可能经E-mail client(像outlook或outlook express)来制作变异的message封包。 弱点识别码:CAN-2002-0368 解决方法: 修正程式能够从下列网址取得: Microsoft Exchange 2000: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38951 bitscn.com 注意: Exchage2000的修正程式必须安装在exchage2ksp2之上。 |
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
