Бюллетень по безопасности

Бюллетень по безопасности Майкрософт MS06-011 — важно

Разрешенные списки DACLs служб Windows могут разрешить повышение привилегий (914798)

Опубликовано: 14 марта 2006 г. | Обновлено: 13 июня 2006 г.

Версия: 2.1

Итоги

Кто должен прочитать этот документ: Клиенты, использующие Microsoft Windows

Влияние уязвимости: повышение привилегий

Максимальная оценка серьезности: важно

Рекомендация. Клиенты должны применить обновление при первой возможности.

Замена обновлений безопасности отсутствует.

Предостережение:Статья базы знаний Майкрософт 914798 документы о известных проблемах, которые могут возникнуть при установке этого обновления системы безопасности. В этой статье также описаны рекомендуемые решения для этих проблем. Дополнительные сведения см. в статье базы знаний Майкрософт 914798.

Тестированные расположения загрузки обновлений программного обеспечения и системы безопасности:

Затронутого программного обеспечения:

  • Microsoft Windows XP с пакетом обновления 1 (SP1 ) скачать обновление
  • Microsoft Windows Server 2003 — скачивание обновления
  • Microsoft Windows Server 2003 для систем на основе Itanium. Скачайте обновление
  • Не затронутое программное обеспечение:
    • Microsoft Windows 2000 с пакетом обновления 4 (SP4)
    • Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) и Microsoft Windows Millennium Edition (ME)
    • Microsoft Windows XP с пакетом обновления 2
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003 с пакетом обновления 1 (SP1)
    • Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) для систем на основе Itanium
    • Microsoft Windows Server 2003 x64 Edition

Общие сведения

Краткий обзор

Резюме:

Это обновление разрешает недавно обнаруженную общедоступную уязвимость. Уязвимость описана в разделе "Сведения об уязвимостях" этого бюллетеня.

Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Мы рекомендуем клиентам применять обновление при первой возможности.

Оценки серьезности и идентификаторы уязвимостей:

Идентификаторы уязвимостей Влияние уязвимости Windows 98, 98 SE, ME Windows 2000 Windows XP с пакетом обновления 1 (SP1) Windows XP с пакетом обновления 2 Windows Server 2003 Windows Server 2003 с пакетом обновления 1 (SP1)
Разрешительные списки DAC службы Windows — CVE-2006-0023 Повышение привилегий\ нет нет Важно\ нет Умеренно нет

Эта оценка основана на типах систем, пострадавших от уязвимости, их типичных шаблонов развертывания, а также на последствия использования уязвимости.

Обратите внимание , что оценки серьезности версий операционной системы, отличных от x86, сопоставляют с версиями операционных систем x86 следующим образом:

  • Рейтинг серьезности Microsoft Windows XP Professional x64 Edition совпадает с рейтингом серьезности Windows XP с пакетом обновления 2 ( SP2).
  • Оценка серьезности систем на основе Itanium для Microsoft Windows Server 2003 совпадает с рейтингом серьезности Windows Server 2003.
  • Оценка серьезности систем на основе Itanium для Microsoft Windows Server 2003 с пакетом обновления 1 (SP1) совпадает с рейтингом серьезности Windows Server 2003 с пакетом обновления 1 (SP1).
  • Рейтинг серьезности microsoft Windows Server 2003 x64 Edition совпадает с рейтингом серьезности Windows Server 2003 с пакетом обновления 1 (SP1).

Почему корпорация Майкрософт повторно выполнила этот бюллетень 13 июня 2006 г.?
Корпорация Майкрософт обновила этот бюллетень и связанные обновления системы безопасности, чтобы включить обновленные значения разделов реестра для служб NetBT, RemoteAccess и TCPIP. Эти значения были изменены так же, как и Windows XP с пакетом обновления 2 (SP2) в системах с пакетом обновления 1 (SP1) Для Windows XP. Клиентам, работающим с пакетом обновления 1 (SP1) Windows XP, рекомендуется применить это исправленное обновление для дополнительной безопасности от повышения привилегий через эти службы, как описано в разделе сведений об уязвимостях этого бюллетеня по безопасности. Системы Windows 2003 без применения пакета обновления не влияют на эту повторное использование. Дополнительные сведения и обновленные значения разделов реестра см. в статье базы знаний Майкрософт 914798.

Какие изменения включают в себя измененное обновление системы безопасности?
Измененное обновление системы безопасности не содержит изменений в двоичных файлах, включенных в первоначальное обновление системы безопасности. Во время установки измененное обновление системы безопасности обновит значения реестра для служб NetBT, RemoteAccess и TCPIP, как указано в статье базы знаний Майкрософт 914798.

Каковы известные проблемы, которые могут возникнуть у клиентов при установке этого обновления безопасности?
Статья базы знаний Майкрософт 914798 документы о известных проблемах, которые могут возникнуть у клиентов при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем. Дополнительные сведения см. в статье базы знаний Майкрософт 914798.

Почему обновленные файлы не применяются к системе после установки этого обновления?
Для систем с пакетом обновления 1 (SP1) Windows XP этот обновление устанавливает список управления доступом (DACL) службы в те же параметры, что и Windows XP с пакетом обновления 2 . Для Windows 2003 без установленного пакета обновления это обновление устанавливает выбранные списки DACL службы для параметров Windows 2003 с пакетом обновления 1 (SP1). Эти изменения конфигурации вносятся программой установки, и системные файлы не обновляются в результате применения этого обновления безопасности.

Сможет ли я удалить это обновление?
Так как системные файлы не изменяются в результате применения этого обновления, это обновление не может быть удалено.  Для Windows 2003 без установленного пакета обновления и систем Windows XP с пакетом обновления 1 (SP1) этот обновление устанавливает выбранные списки DACL службы в параметры Windows 2003 с пакетом обновления 1 (SP1) и Windows XP с пакетом обновления 2 (SP2). Эти изменения конфигурации вносятся программой установки, и системные файлы не обновляются в результате применения этого обновления безопасности. Однако изменения можно отменить изменения с помощью системных служебных программ. Дополнительные сведения об удалении и восстановлении изменений конфигурации DACL, внесенных этим обновлением, см . в статье базы знаний Майкрософт 914798.

Содержит ли это обновление какие-либо изменения, связанные с безопасностью, в функциональных возможностях?
Да. В дополнение к службам, перечисленным в разделе "Сведения об уязвимостях" бюллетеня, обновление также изменяет списки DACLs для служб и разделов реестра служб, перечисленных в таблице ниже для дополнительной защиты глубинной защиты. Эти дополнительные службы и разделы реестра служб задают списки DAC для служб, перечисленных ниже, так же, как и Windows XP с пакетом обновления 2 в системах с пакетом обновления 1 для Windows XP и Windows 2003 с пакетом обновления 1 (SP1) в системах Windows 2003 без применения пакета обновления. Дополнительные сведения об этих и других изменениях служб и разделов реестра, включенных в это обновление, см . в статье базы знаний Майкрософт 914798.

Дополнительные изменения раздела службы и реестра, включенные в это обновление

Операционная система Служба Раздел реестра
Microsoft Windows XP с пакетом обновления 1 (SP1) MSDTC
DHCP
Netbt
Удаленный доступ
TCPIP
Windows Server 2003 MSDTC
SysmonLog
DHCP
DnsCache
Netbt
Удаленный доступ
TCPIP

Затрагиваются ли Windows 98, Windows 98 Second Edition или Windows Millennium Edition критически затронуты одним или несколькими уязвимостями, которые рассматриваются в этом бюллетене по безопасности?
№ Программное обеспечение, указанное в сводке руководителей, было проверено, чтобы определить, затронуты ли версии. Другие версии либо больше не включают поддержку обновления безопасности, либо не могут быть затронуты. Чтобы определить жизненный цикл поддержки для продукта и версии, посетите веб-сайт служба поддержки Майкрософт жизненного цикла.

Можно ли использовать анализатор безопасности базовых показателей Майкрософт (МБ SA) 1.2.1, чтобы определить, требуется ли это обновление?
Да. МБ SA 1.2.1 определяет, требуется ли это обновление. Дополнительные сведения о МБ SA см. на веб-сайте МБ SA. Так как это обновление невозможно удалить, если затронутые списки DACL изменены или восстановлены в предыдущее состояние, пользователям потребуется изменить реестр для МБ SA, чтобы правильно определить необходимость этого обновления еще раз. Сведения о том, как изменить реестр для МБ SA 1.2.1, чтобы определить удаление этого обновления вручную, см. в статье базы знаний Майкрософт 914798.

Можно ли использовать анализатор безопасности microsoft Base Security (МБ SA) 2.0, чтобы определить, требуется ли это обновление?
Да. МБ SA 2.0 определяет, требуется ли это обновление. МБ SA 2.0 может обнаруживать обновления системы безопасности для продуктов, поддерживаемых Центром обновления Майкрософт. Дополнительные сведения о МБ SA см. на веб-сайте МБ SA. Так как это обновление невозможно удалить, если затронутые списки DACL изменены или восстановлены в предыдущее состояние, пользователям потребуется изменить реестр для МБ SA, чтобы правильно определить необходимость этого обновления еще раз. Сведения о том, как изменить реестр для МБ SA 2.0, чтобы определить удаление этого обновления вручную, см. в статье базы знаний Майкрософт 914798.

Можно ли использовать сервер управления системами (SMS), чтобы определить, требуется ли это обновление?
Да. SMS может помочь определить и развернуть это обновление системы безопасности. Дополнительные сведения о SMS см. на веб-сайте SMS.

Средство инвентаризации обновлений безопасности может использоваться SMS для обнаружения обновлений безопасности, предлагаемых Обновл. Windows, поддерживаемых службами обновлений программного обеспечения и другими обновлениями безопасности, поддерживаемыми МБ SA 1.2.1. Дополнительные сведения о средстве инвентаризации обновлений безопасности см. на следующем веб-сайте Майкрософт. Дополнительные сведения об ограничениях средства инвентаризации обновлений безопасности см . в статье базы знаний Майкрософт 306460.

Средство инвентаризации SMS 2003 для Microsoft Обновления может использоваться SMS для обнаружения обновлений безопасности, предлагаемых Центром обновления Майкрософт и поддерживаемых службами Центра обновления Windows Server. Дополнительные сведения о средстве инвентаризации SMS 2003 для Microsoft Обновления см. на следующем веб-сайте Майкрософт.

Сведения об уязвимостях

Допустимые списки доступа к службам Windows могут разрешить повышение привилегий — CVE-2006-0023

Уязвимость повышения привилегий существует в Windows XP с пакетом обновления 1 (SP1) в определенных службах Windows, где разрешения задаются по умолчанию на уровне, который может позволить пользователю с низким уровнем привилегий изменять свойства, связанные со службой. В Windows 2003 разрешения для определенных служб задаются на уровне, который может позволить пользователю, принадлежащим группе операторов конфигурации сети, изменять свойства, связанные со службой. Только члены группы операторов конфигурации сети на целевом компьютере могут удаленно атаковать Windows Server 2003, и эта группа не содержит пользователей по умолчанию. Уязвимость может позволить пользователю с допустимыми учетными данными входа в систему в Microsoft Windows XP с пакетом обновления 1 (SP1).

Смягчающие факторы для dACCl служб Windows могут разрешить повышение привилегий — CVE-2006-0023

  • Злоумышленник должен иметь допустимые учетные данные входа, чтобы иметь возможность использовать эту уязвимость. Уязвимость не может быть использована анонимными пользователями.
  • Четыре из шести определенных служб (NetBT, SCardSvr, DHCP, DnsCache) требуют, чтобы злоумышленник уже работал в привилегированном контексте безопасности. Кроме того, две службы, SSDPSRV и UPNPHost, которые позволяют пользователю, прошедшему проверку подлинности, атаковать уязвимую систему, уязвимы только в Windows XP с пакетом обновления 1 .1.

Обходные пути для уязвимостей в DAC-адресах служб Windows могут привести к повышению привилегий — CVE-2006-0023:

Корпорация Майкрософт проверила следующие обходные пути. Выявленные обходные пути изменяют списки DACL по умолчанию в Windows XP с пакетом обновления 1 и windows Server на списки DACL повышенной безопасности, используемые в Windows XP с пакетом обновления 2 и в Windows Server 2003 с пакетом обновления 1 . Таким образом, эти обходные пути считаются полными решениями этой проблемы. Так как рекомендуемые средства управления доступом были доставки с последними операционными системами в течение некоторого времени, они, как ожидается, представляют собой низкий риск. Однако любое изменение DACL несет некоторый риск несовместимости приложений.

  • Используйте команду sc.exe, чтобы задать измененные элементы управления доступом для определенных служб:

    Обратите внимание, что необходимо запустить команду sc.exe в качестве привилегированного пользователя. Эту команду можно выполнить с помощью скрипта запуска компьютера или с помощью sms-скрипта. Выполнив эту команду, вы повышаете безопасность списков управления доступом, чтобы они были на том же уровне, что и Windows XP с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1. Дополнительные сведения о команде sc.exe и настройке списков DAC для служб Windows см. в следующей документации по продуктам Майкрософт. Для этого устранения рисков не требуется перезапуск компьютера.

    Для Windows XP с пакетом обновления 1 выполните каждую из следующих команд. Каждая команда изменяет DACL в связанной затронутой службе.

    sc sdset ssdpsrv D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; PU(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO(A;; CCLCSWRPLORC;; AU)(A;; RPWPDTRC;; LS)

    sc sdset netbt D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;; PU(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO(A;; CCLCSWRPWPDTLOCRRC;; SY)(A;; DT;;; LS)(A;; DT;;; NS)(A;; CCLCSWRPLOCRRC;; НЕТ)

    sc sdset upnphost
    D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; PU(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO(A;; CCLCSWRPLORC;; AU)(A;; CCDCLCSWLOCRRC;; LS)

    sc sdset s карта svr D:(A;; CCLCSWRPWPDTLOCRRC;; SY)(A;; CCLCSWRPWPDTLOCRRC;; LS)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO(A;; CCLCSWRPLOCRRC;; S-1-2-0)

    sc sdset dhcp D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)

    sc sdset dnscache D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;; PU(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)

    Для Windows Server 2003 выполните каждую из следующих команд. Каждая команда изменяет DACL в связанной затронутой службе.

    sc sdset netbt D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;; PU(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SO(A;; CCLCSWRPWPDTLOCRRC;; SY)(A;; DT;;; LS)(A;; DT;;; NS)(A;; CCLCSWRPLOCRRC;; NO)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)

    sc sdset dhcp D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)

    sc sdset dnscache D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;; PU(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)

    Примечание. Для Windows Server 2003 ,NetBT, DnsCache и DHCP являются единственными идентифицированными затронутыми службами. В сценарии Windows Server 2003 атака должна быть запущена членом группы операторов конфигурации сети. Эта группа пуста по умолчанию.

    Влияние обходного решения: нет

  • Используйте групповую политику для развертывания измененных элементов управления доступом для определенных служб.

    Администраторы домена могут использовать групповую политику и шаблоны безопасности для развертывания измененных элементов управления доступом в системах с пакетом обновления 1 (SP1) Для Windows XP. Дополнительные сведения о реализации шаблонов безопасности с помощью групповой политики см. в статье базы знаний Майкрософт 816585. Для выполнения этого устранения рисков не нужно перезапустить компьютер.

    Для Windows XP с пакетом обновления 1 используйте следующий шаблон безопасности, чтобы изменить службы Upnphost, SCardSvr, SSDPSRV, DnsCache и DHCP.

    [Юникод]
    Юникод=да
    [версия]
    signature="$CHICAGO$"
    Редакция=1
    [Общие параметры службы]
    SSDPSRV,2,"D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; PU(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; S-1-5-32-549)(A;; CCLCSWRPLORC;; AU)(A;; RPWPDTRC;; S-1-5-19)"
    upnphost,2,"D:(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; SY)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; PU(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; S-1-5-32-549)(A;; CCLCSWRPLORC;; AU)(A;; CCDCLCSWLOCRRC;; S-1-5-19)"
    s карта svr,2,"D:(A;; CCLCSWRPWPDTLOCRRC;; SY)(A;; CCLCSWRPWPDTLOCRRC;; S-1-5-19)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; S-1-5-32-549)(A;; CCLCSWRPLOCRRC;; S-1-2-0)"
    dhcp,2,"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)"
    dnscache,2,"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;; PU(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)"

    Для Windows Server 2003 используйте следующий шаблон безопасности, чтобы изменить службы DnsCache и DHCP.

    [Юникод]
    Юникод=да
    [версия]
    signature="$CHICAGO$"
    Редакция=1
    [Общие параметры службы]
    dhcp,"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)"
    dnscache,"D:(A;; CCLCSWLOCRRC;; AU)(A;; CCLCSWRPLOCRRC;; PU(A;; CCLCSWRPWPDTLOCRRC;; NO(A;; CCDCLCSWRPWPDTLOCRSDRCWDWO;; BA)(A;; CCLCSWRPWPDTLOCRRC;; SY)S:(AU;FA; CCDCLCSWRPWPDTLOCRSDRCWDWO;; WD)"

    Примечание. Для Windows XP с пакетом обновления 1 и Windows Server 2003 изменение списков DACL службы в службе NetBT не поддерживается с помощью редактора объектов групповой политики Майкрософт. Поэтому изменение DACL службы NetBT не входит в шаблон безопасности для Windows Server 2003.

    Примечание. Для Windows Server 2003 ,NetBT, DHCP и DnsCache являются единственными идентифицированными затронутыми службами. В сценарии Windows Server 2003 член группы операторов конфигурации сети должен запустить атаку. Эта группа пуста по умолчанию и редко заполняется.

    Влияние обходного решения. Помимо настройки DAC-адресов служб, аналогичных тем же, что и для Windows XP с пакетом обновления 2, шаблон безопасности, предоставляемый, задает тип запуска службы для затронутой службы исходной конфигурации по умолчанию "Автоматически". Так как Windows Server 2003 поддерживает возможность настройки параметров типа запуска, тип запуска не изменяется для Windows Server 2003.

  • Измените реестр Windows, чтобы изменить элементы управления доступом для каждой из определенных служб.

    Предпочтительный метод изменения службы используется с помощью команды sc.exe . Однако можно использовать следующую команду, чтобы изменить список DAC-адресов безопасности затронутых служб на тот же уровень, что и Windows XP с пакетом обновления 2. Пользователям рекомендуется создать резервную копию реестра, прежде чем вносить изменения. Дополнительные сведения о сценариях реестра и о том, как изменить реестр Windows, см. в статье базы знаний Майкрософт 214752.

    Для Windows XP с пакетом обновления 1 (SP1) измените следующие разделы реестра, чтобы изменить затронутые службы Windows XP с пакетом обновления 1 (SP1) по умолчанию.

    Для службы SSDPSRV:

    reg add HKLM\System\CurrentControlSet\Services\SSDPSRV\Security /v Security /t REG_BINARY /d _
    01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
    0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
    52000000025020000000014009d00020001010000000000050b000000000014007000020001010000000000051300_
    0000010100000000000512000000010100000000000512000000

    Для службы NetBT:

    reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
    01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
    0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
    5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
    00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
    10100000000000512000000010100000000000512000000

    Для службы UPnPHost:

    reg add HKLM\System\CurrentControlSet\Services\upnphost\Security /v Security /t REG_BINARY /d _
    01001480bc000000c8000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    00002008c000600000000001400ff010f0001010000000000051200000000001800ff010f00010200000000000520_
    0000002002000000001800fd0102000102000000000005200000002302000000001800ff010f00010200000000000_
    52000000025020000000014009d00020001010000000000050b000000000014008f01020001010000000000051300_
    0000010100000000000512000000010100000000000512000000

    Для службы S карта Svr:

    reg add HKLM\System\CurrentControlSet\Services\s карта svr\Security /v Security /t REG_BINARY /d _
    01001480a4000000b0000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    000020074000500000000001400fd01020001010000000000051200000000001400fd010200010100000000000513_
    00000000001800ff010f000102000000000005200000002002000000001800ff010f0001020000000000052000000_
    025020000000014009d01020001010000000000020000000001010000000000051200000001010000000000051200_
    0000

    Для службы DHCP:

    Reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dhcp\security /v Security /t REG_BINARY /d _
    01001480900000009C000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020060000_
    4000000000014008D01020001010000000000050B00000000001800FD010200012000000000005200000002C02000000001800FF_
    010F00010200000000005200000002002000000001400FD010200010100000000000512000000101000000000005120000000101_
    00000000000512000000

    Для службы DnsCache:

    reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dnscache\security /v Security /t REG_BINARY /d_
    01001480A8000000B4000000140000003000000002001C00010000002801400FF010F00010100000000000100000000020078000500_
    0000000014008D01020001010000000000050B000000000018009D010200012000000000005200000002302000000001800FD010200_
    010200000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000_
    00051200000001010000000000512000000010100000000000512000000

    Для Windows Server 2003 измените следующие разделы реестра, чтобы изменить затронутую службу Windows Server 2003 по умолчанию.

    Для службы NetBT:

    reg add HKLM\System\CurrentControlSet\Services\netbt\Security /v Security /t REG_BINARY /d _
    01001480e8000000f4000000140000003000000002001c000100000002801400ff010f00010100000000000100000_
    0000200b80008000000000014008d01020001010000000000050b000000000018009d010200010200000000000520_
    0000002302000000001800ff010f000102000000000005200000002002000000001800ff010f00010200000000000_
    5200000002502000000001400fd010200010100000000000512000000000014004000000001010000000000051300_
    00000000140040000000010100000000000514000000000018009d0102000102000000000005200000002c0200000_
    10100000000000512000000010100000000000512000000

    Для службы DHCP:

    reg add HKLM\System\CurrentControlSet\Services\dhcp\Security /v Security /t REG_BINARY /d _
    01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
    000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
    05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
    000000051200000010100000000000512000000010100000000000512000000

    Для службы DnsCache:

    reg add HKLM\System\CurrentControlSet\Services\dnscache\Security /v Security /t REG_BINARY /d _
    01001480900000009C000000140000003000000002001C00010000002801400FF010F000101000000000001000_
    000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000020000000000_
    05200000002C02000000001800FF010F000102000000000005200000002002000000001400FD01020001010000_
    000000051200000010100000000000512000000010100000000000512000000

    Примечание. Для этих значений разделов реестра символ "_" и возврат каретки были вставлены для удобочитаемости. Удалите этот символ и возврат каретки для правильного выполнения команды.

    Влияние обходного решения. Помимо настройки списков DAC-адресов служб, таких как для Windows Server 2003 с пакетом обновления 1 и Windows XP с пакетом обновления 2, вам не нужно перезапустить компьютер, чтобы завершить эту проблему.

Часто задаваемые вопросы о dACCl служб Windows могут разрешить повышение привилегий — CVE-2006-0023

Что такое область этой уязвимости?
Это уязвимость повышения привилегий. Злоумышленник, который успешно воспользовался этой уязвимостью, может полностью контролировать затронутую систему. Злоумышленник может изменить двоичный файл по умолчанию, связанный с затронутыми службами. Затем злоумышленник может остановить и перезапустить службы для запуска вредоносной программы или двоичного файла. Он может устанавливать программы, просматривать, изменять или удалять данные и создавать новые учетные записи с полными пользовательскими правами.

Что вызывает уязвимость?
В Windows XP с пакетом обновления 1 разрешения для определенных служб Windows задаются по умолчанию на уровне, который может позволить пользователю с низким уровнем привилегий изменять свойства, связанные со службой. В Windows Server 2003 разрешения для определенных служб задаются на уровне, который может разрешить пользователю, который принадлежит группе операторов конфигурации сети, изменять свойства, связанные со службой.

Что может сделать злоумышленник?
Изменив связанную по умолчанию программу, установленную для запуска определенной службой, пользователь с низким уровнем привилегий может выполнять команды или исполняемые файлы, которые обычно требуют более высокого привилегированного доступа.

Кто может использовать уязвимость?
Чтобы попытаться воспользоваться уязвимостью, злоумышленник должен иметь действительные учетные данные для входа в затронутую систему.

Как злоумышленник может воспользоваться уязвимостью?
Чтобы воспользоваться этой уязвимостью, злоумышленнику сначала потребуется действительные учетные данные для входа в затронутую систему. Затем злоумышленник может получить доступ к затронутму компоненту и запустить стандартное приложение, которое может использовать уязвимость и получить полный контроль над затронутой системой.

Какие системы в первую очередь подвергаются риску от уязвимости?
Рабочие станции и серверы подвергаются риску от этой уязвимости.

Затронуты ли Windows 98, Windows 98 Second Edition или Windows Millennium Edition критически затронуты этой уязвимостью?
№ Windows 98, Windows 98 Second Edition и Windows Millennium Edition не содержат затронутых компонентов.

Влияет ли Windows 2000 на эту уязвимость?
Были определены сценарии, которые включают членов административной группы Power User, но такие пользователи должны считаться доверенными пользователями, имеющими обширные привилегии и возможность изменять параметры на уровне компьютера. Дополнительные сведения о правах, связанных с административной группой Power Users, см. в статье базы знаний Майкрософт 825069. Windows 2000 может стать уязвимой, если установлен сторонний код приложения, который добавляет службы, имеющие чрезмерно пропустимые элементы управления доступом.

Разделы справки определить, влияет ли стороннее приложение?
Пользователям рекомендуется связаться со своими сторонними поставщиками программного обеспечения, продукты которых требуют установки служб, чтобы определить, затронуты ли какие-либо службы Windows, не используемые по умолчанию,**** Разработчики программного обеспечения рекомендуется посетить статью базы знаний Майкрософт 914392 для получения дополнительных сведений и рекомендаций по применению безопасных элементов управления доступом к службам.

Может ли уязвимость использоваться через Интернет?
№ Злоумышленник должен иметь допустимые учетные данные для входа в определенную систему, предназначенную для атаки.

Что делает обновление?
Обновление изменяет списки DACL по умолчанию в Windows XP с пакетом обновления 1 и windows Server на расширенные списки DACCL, используемые в Windows XP с пакетом обновления 2 и Windows Server 2003 с пакетом обновления 1 .

Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
Да. Эта уязвимость была публично раскрыта. Было назначено общее число уязвимостей и уязвимостей CVE-2006-0023.

Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт видела примеры подтверждения кода концепции, опубликованного публично, но не получили никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.

Сведения об обновлении системы безопасности

Затронутого программного обеспечения:

Для получения сведений об определенном обновлении безопасности для затронутого программного обеспечения щелкните соответствующую ссылку:

Windows Server 2003

Необходимые условия
Для этого обновления системы безопасности требуется версия Windows Server 2003.

Включение в будущие пакеты обновления:
Обновление этой проблемы включается в состав Windows Server 2003 с пакетом обновления 1 (SP1).

Сведения об установке

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch Description
/help Отображение параметров командной строки
Режимы установки
/passive Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart Не перезапускается при завершении установки
/forcerestart Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x] Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart Отображение диалогового окна с запросом локального пользователя разрешить перезагрузку
Специальные параметры
/overwriteoem Перезаписывает OEM-файлы без запроса
/nobackup Не выполняет резервное копирование файлов, необходимых для удаления
/forceappsclose Принудительное закрытие других программ при завершении работы компьютера
/log: путь Разрешает перенаправление файлов журнала установки
/integrate:path Интегрирует обновление в исходные файлы Windows. Эти файлы находятся по пути, указанному в коммутаторе.
/extract[:p ath] Извлекает файлы без запуска программы установки
/ER Включает расширенные отчеты об ошибках
/verbose Включает подробное ведение журнала. Во время установки создает %Windir%\CabBuild.log. Этот журнал содержит сведения о файлах, скопированных. Использование этого параметра может привести к тому, что установка продолжается медленнее.

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает многие параметры установки, которые использует более ранняя версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841. Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, используйте следующую команду в командной строке Windows Server 2003:

Windowsserver2003-kb914798-x86-enu /quiet

Примечание. Использование переключателя /quiet будет подавлять все сообщения. Это включает подавление сообщений об ошибках. Администратор istrator должны использовать один из поддерживаемых методов для проверки успешной установки при использовании переключателя /quiet. Администратор istrator также должен просматривать файл КБ 914798.log для любых сообщений об ошибках при использовании этого параметра.

Сведения о развертывании этого обновления безопасности с помощью служб обновления программного обеспечения см. на веб-сайте служб обновления программного обеспечения. Дополнительные сведения о развертывании этого обновления системы безопасности с помощью служб Центра обновления Windows Server см. на веб-сайте windows Server Update Services. Это обновление безопасности также будет доступно на веб-сайте Центра обновления Майкрософт.

Требование перезапуска

Для этого обновления не требуется перезапуск. Установщик останавливает необходимые службы, применяет обновление, а затем перезапускает службы. Однако если необходимые службы не могут быть остановлены по какой-либо причине или если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение происходит, появится сообщение, которое советует перезапустить. Чтобы снизить вероятность необходимости перезагрузки, остановите все затронутые службы и закройте все приложения, которые могут использовать затронутые файлы перед установкой обновления системы безопасности. Дополнительные сведения о причинах, по которым может потребоваться перезапустить компьютер, см . в статье базы знаний Майкрософт 887012.

Сведения об удалении

Это обновление нельзя удалить. Дополнительные сведения об удалении изменений, внесенных этим обновлением вручную, см . в статье базы знаний Майкрософт 914798.

Сведения о файлах

Так как это обновление изменяет только системные свойства для определенных служб, новые двоичные файлы не применяются к системе в результате установки обновления.

Дополнительные сведения об этом поведении см. в статье базы знаний Майкрософт 824994.

Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet.

Дополнительные сведения о терминологии, которая отображается в этом бюллетене, например исправление, см . в статье базы знаний Майкрософт 824684.

Проверка применения обновления

  • Microsoft Baseline Security Analyzer

    Чтобы убедиться, что обновление безопасности было применено к затронутой системе, можно использовать средство microsoft Base Security Analyzer (МБ SA). МБ SA позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности и распространенных ошибок в настройке безопасности. Дополнительные сведения о МБ SA см. на веб-сайте анализатора безопасности Microsoft Base Security Analyzer.

  • Проверка раздела реестра

    Вы также можете проверить файлы, установленные этим обновлением системы безопасности, проверив следующий раздел реестра.

    Windows Server 2003, Web Edition; Windows Server 2003, выпуск Standard; Windows Server 2003, выпуск Enterprise; Windows Server 2003, Datacenter Edition; Windows Small Business Server 2003; Windows Server 2003, выпуск Enterprise для систем на основе Itanium; и Windows Server 2003, Datacenter Edition для систем на основе Itanium:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows Server 2003\SP1\КБ 914798\Filelist

    Обратите внимание, что этот раздел реестра может не содержать полный список установленных файлов. Кроме того, этот раздел реестра может быть создан неправильно, если администратор или изготовитель оборудования интегрирует или скольжения обновления безопасности в исходные файлы установки Windows.

Windows XP

Необходимые условия
Для этого обновления системы безопасности требуется Microsoft Windows XP с пакетом обновления 1 (SP1). Дополнительные сведения см. в статье базы знаний Майкрософт 322389.

Включение в будущие пакеты обновления:
Обновление этой проблемы включается в пакет обновления 2 (SP2) Windows XP.

Сведения об установке

Это обновление системы безопасности поддерживает следующие параметры установки.

Switch Description
/help Отображение параметров командной строки
Режимы установки
/passive Режим автоматической установки. Взаимодействие с пользователем не требуется, но отображается состояние установки. Если перезагрузка требуется в конце программы установки, диалоговое окно будет представлено пользователю с предупреждением таймера о том, что компьютер перезагрузится в течение 30 секунд.
/quiet Тихий режим. Это то же самое, что и в автоматическом режиме, но не отображаются сообщения о состоянии или ошибках.
Параметры перезагрузки
/norestart Не перезапускается при завершении установки
/forcerestart Перезапускает компьютер после установки и принудительно закрывает другие приложения при завершении работы без сохранения открытых файлов.
/warnrestart[:x] Представляет диалоговое окно с предупреждением таймера о том, что компьютер перезагрузится в x секундах. (Значение по умолчанию — 30 секунд.) Предназначено для использования с параметром /quiet или пассивным коммутатором.
/promptrestart Отображение диалогового окна с запросом локального пользователя разрешить перезагрузку
Специальные параметры
/overwriteoem Перезаписывает OEM-файлы без запроса
/nobackup Не выполняет резервное копирование файлов, необходимых для удаления
/forceappsclose Принудительное закрытие других программ при завершении работы компьютера
/log:path Разрешает перенаправление файлов журнала установки
/integrate:path Интегрирует обновление в исходные файлы Windows. Эти файлы находятся по пути, указанному в коммутаторе.
/extract[:p ath] Извлекает файлы без запуска программы установки
/ER Включает расширенные отчеты об ошибках
/verbose Включает подробное ведение журнала. Во время установки создает %Windir%\CabBuild.log. Этот журнал содержит сведения о файлах, скопированных. Использование этого параметра может привести к тому, что установка продолжается медленнее.

Обратите внимание , что эти коммутаторы можно объединить в одну команду. Для обратной совместимости обновление системы безопасности также поддерживает параметры установки, которые использует более ранняя версия программы установки. Дополнительные сведения о поддерживаемых параметрах установки см . в статье базы знаний Майкрософт 262841. Дополнительные сведения о установщике Update.exe см. на веб-сайте Microsoft TechNet.

Сведения о развертывании

Чтобы установить обновление безопасности без вмешательства пользователя, используйте следующую команду в командной строке Microsoft Windows XP:

Windowsxp-kb914798-x86-enu /quiet

Примечание. Использование переключателя /quiet будет подавлять все сообщения. Это включает подавление сообщений об ошибках. Администратор istrator должны использовать один из поддерживаемых методов для проверки успешной установки при использовании переключателя /quiet. Администратор istrator также должен просматривать файл КБ 914798.log для любых сообщений об ошибках при использовании этого параметра.

Требование перезапуска

Для этого обновления не требуется перезапуск. Установщик останавливает необходимые службы, применяет обновление, а затем перезапускает службы. Однако если необходимые службы не могут быть остановлены по какой-либо причине или если используются необходимые файлы, это обновление потребует перезагрузки. Если такое поведение происходит, появится сообщение, которое советует перезапустить. Дополнительные сведения о причинах, по которым может потребоваться перезапустить компьютер, см . в статье базы знаний Майкрософт 887012.

Сведения об удалении

Это обновление нельзя удалить. Дополнительные сведения об удалении изменений, внесенных этим обновлением вручную, см . в статье базы знаний Майкрософт 914798.

Так как это обновление изменяет только системные свойства для определенных служб, новые двоичные файлы не применяются к системе в результате установки обновления.

Проверка применения обновления

  • Microsoft Baseline Security Analyzer

    Чтобы убедиться, что обновление безопасности было применено к затронутой системе, можно использовать средство microsoft Base Security Analyzer (МБ SA). МБ SA позволяет администраторам сканировать локальные и удаленные системы для отсутствия обновлений безопасности и распространенных ошибок в настройке безопасности. Дополнительные сведения о МБ SA см. на веб-сайте анализатора безопасности Microsoft Base Security Analyzer.

  • Проверка раздела реестра

    Вы также можете проверить файлы, установленные этим обновлением системы безопасности, проверив следующий раздел реестра.

    Для Windows XP Home Edition с пакетом обновления 1 (SP1), Windows XP Professional с пакетом обновления 1 (SP1), Windows XP Tablet PC Edition, Windows XP Media Center Edition:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Обновления\Windows XP\SP2\КБ 914798\Filelist

    Обратите внимание, что этот раздел реестра может не содержать полный список установленных файлов. Кроме того, этот раздел реестра может быть создан неправильно, если администратор или изготовитель оборудования интегрирует или скольжения обновления безопасности в исходные файлы установки Windows.

Другие сведения

Подтверждения

Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:

  • Андрес Тараско из группы SIA для работы с нами на базе DACCl служб Windows может разрешить повышение привилегий — CVE-2006-0023

Получение других Обновления безопасности:

Обновления для других проблем безопасности доступны в следующих расположениях:

  • Обновления системы безопасности доступны в Центре загрузки Майкрософт. Их можно найти проще всего, выполнив поиск ключевое слово "security_patch".
  • Обновления для потребительских платформ доступны на сайте Веб-сайт Центра обновления Майкрософт.

Поддержка.

  • Клиенты в США и Канаде могут получать техническую поддержку от служб поддержки продуктов Майкрософт по адресу 1-866-PCSAFETY. Плата за вызовы поддержки, связанные с обновлениями безопасности, не взимается.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Плата за поддержку, связанную с обновлениями безопасности, не взимается. Дополнительные сведения о том, как обратиться в корпорацию Майкрософт за вопросами поддержки, посетите веб-сайт международной поддержки.

Ресурсы безопасности:

Службы обновления программного обеспечения:

С помощью служб обновления программного обеспечения (SUS) администраторы могут быстро и надежно развертывать последние критические обновления и обновления системы безопасности на серверах под управлением Windows 2000 и Windows Server 2003, а также в классических системах под управлением Windows 2000 профессиональный или Windows XP Professional.

Дополнительные сведения о развертывании обновлений системы безопасности с помощью служб обновления программного обеспечения см. на веб-сайте служб обновления программного обеспечения.

Службы центра обновления Windows Server:

С помощью служб Windows Server Update Services (WSUS) администраторы могут быстро и надежно развертывать последние критические обновления и обновления системы безопасности для операционных систем Windows 2000 и более поздних версий, Office XP и более поздних версий, Exchange Server 2003 и SQL Server 2000 в операционных системах Windows 2000 и более поздних версий.

Дополнительные сведения о развертывании обновлений системы безопасности с помощью служб Центра обновления Windows Server см. на веб-сайте Windows Server Update Services.

Сервер управления системами:

Microsoft Systems Management Server (SMS) предоставляет высококонфигурируемое корпоративное решение для управления обновлениями. С помощью SMS администраторы могут определять системы под управлением Windows, требующие обновлений системы безопасности, и могут выполнять управляемое развертывание этих обновлений на предприятии с минимальным нарушением работы конечных пользователей. Дополнительные сведения о том, как администраторы могут использовать SMS 2003 для развертывания обновлений системы безопасности, посетите веб-сайт управления исправлениями безопасности SMS 2003. Пользователи SMS 2.0 также могут использовать пакет дополнительных компонентов программного обеспечения Обновления для развертывания обновлений системы безопасности. Дополнительные сведения о SMS см. на веб-сайте SMS.

Примечание SMS использует анализатор безопасности Microsoft Base Security, средство обнаружения Microsoft Office и средство проверки корпоративных обновлений для обеспечения широкой поддержки обнаружения и развертывания обновлений бюллетеня системы безопасности. Некоторые обновления программного обеспечения могут не обнаруживаться этими средствами. Администратор istrator могут использовать возможности инвентаризации SMS в этих случаях для целевых обновлений для определенных систем. Дополнительные сведения об этой процедуре см. на следующем веб-сайте. Для некоторых обновлений системы требуются права администратора после перезапуска системы. Администратор istrator может использовать средство развертывания с повышенными правами (доступно в пакете дополнительных компонентов sms 2003 Администратор istration и в пакете дополнительных компонентов SMS 2.0 Администратор istration) для установки этих обновлений.

Отказ от ответственности

Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Изменения:

  • Версия 1.0 14 марта 2006 г.: бюллетень опубликован.
  • Версия 1.1 17 марта 2006 г.: для Windows Server 2003 обновлен раздел проверки файла, чтобы отразить соответствующий раздел реестра для обнаружения файлов.
  • Версия 2.0 13 июня 2006 г.: это обновление было изменено, чтобы включить обновленные значения разделов реестра для служб NetBT, RemoteAccess и TCPIP. Эти значения были изменены так же, как Windows XP с пакетом обновления 2 (SP2) в системах с пакетом обновления 1 (SP1) Windows XP, а в системах Windows 2003 с пакетом обновления 1 (SP1) без применения пакета обновления. Клиентам рекомендуется применить это исправленное обновление для дополнительной безопасности от повышения привилегий через эти службы, как описано в разделе сведений об уязвимостях этого бюллетеня по безопасности.
  • Версия 2.1. 14 июня 2006 г.: бюллетень обновлен, чтобы уточнить, что системы Windows 2003 без применения пакета обновления не затрагиваются повторной отправкой 13 июня 2006 г.

Построено в 2014-04-18T13:49:36Z-07:00