Microsoft Security Bulletin MS08-037 - 重要

為何於 2009 年 12 月 8 日重新發行此公告？  
Microsoft 重新發行此公告，以重新提供 Microsoft Windows 2000 Service Pack 4 DNS 用戶端更新程式 (KB951748)，為其他程式碼路徑提供非常隨機的 DNS 交易識別碼。 與其他 Windows 平台不同，在 Microsoft Windows 2000，DNS 交易有兩個程式碼路徑。 之前的更新僅針對其中一個程式碼路徑提供隨機交易識別碼。 此重新發行的更新針對 Microsoft Windows 2000 的另一程式碼路徑提供相同隨機的交易識別碼。之前在 Microsoft Windows 2000 Service Pack 4 上安裝 DNS 用戶端更新程式 (951748) 的客戶，必須安裝自動重新提供的更新。 其他更新不受此重新發行版本影響。

為何於 2009 年 1 月 13 日修訂此資訊安全公告？
Microsoft 修訂此公告旨在說明此公告所提供之更新可能尚未以正確的方式提供給所有執行 Windows XP Service Pack 3 的系統。偵測與部署問題已獲得修正，而我們目前將針對使用 Windows XP Service Pack 3 系統、但尚未套用此公告所提供之更新的客戶，以正確的方式提供更新。 此更新的二進位檔案沒有變更。 已成功更新系統的客戶不需要重新安裝此更新。

為何於 2008 年 7 月 25 日修訂此資訊安全公告？
Microsoft 修訂此資訊安全公告的目的在於新增三個新的已知問題至＜與本安全性更新相關的常見問題集 (FAQ)＞。 這些常見問題集如下：

• 安裝此更新後，客戶可能會遇到哪些連接埠衝突問題？
  執行其他需要靜態 UDP 連接埠 (在 DNS 伺服器針對其通訊端集區配置的連接埠範圍內) 的服務之 DNS 伺服器可能會發生導致服務失敗的連接埠衝突。 如需詳細資訊，請參閱 Microsoft 知識庫文件編號 953230，其中已記錄目前已知安裝此安全性更新後可能會發生的問題。
• SBS 客戶在安裝此更新後可能會遇到什麼問題？
  Windows Small Business Server (SBS) 2003 的支援版本中的受影響程式碼和 Windows Server 2003 Service Pack 1 及 Windows Server 2003 Service Pack 2 的一樣。但是，SBS 系統在安裝此公告所提供之 DNS 伺服器安全性更新後，可能會發生伺服器失敗的問題，或者可能無法正常連作。 如需詳細資訊，請參閱 Microsoft 知識庫文件編號 953230，其中已記錄目前已知安裝此安全性更新後可能會發生的問題。
• 安裝此更新後，周邊防火牆與週邊 NAT 裝置可能會發生什麼問題？
  將此公告所提供之安全性更新安裝於 Windows 電腦上後，該主機跨越防火牆傳送的 DNS 查詢可能再也無法使用隨機來源連接埠。 如需詳細資訊，請參閱 Microsoft 知識庫文件編號 953230，其中已記錄目前已知安裝此安全性更新後可能會發生的問題。

為何於 2008 年 7 月 23 日修訂此資訊安全公告？
Microsoft 修訂此資訊安全公告的主要目的在於將 MS06-064、MS07-062 與 MS08-001 列為此更新所取代的公告。

為何於 2008 年 7 月 10 日修訂此資訊安全公告？
Microsoft 修訂此資訊安全公告旨在告知 ZoneAlarm 與 Check Point Software Technologies Ltd. 的 Check Point Endpoint Security (之前稱為 Check Point Integrity) 使用者，下列常見問題集所詳述的網際網路連線問題。 在此次的公告修訂中並未變更安全性更新檔案。 已經套用更新的客戶不必重新套用更新。 上述 Check Point 軟體的使用者仍需閱讀下列常見問題集，以獲得進一步指引。

安裝此次更新後，ZoneAlarm 與 Check Point Endpoint Security 的使用者會可能遇到什麼問題？
Microsoft 最近接獲 ZoneAlarm 與 Check Point Software Technologies Ltd. 的 Check Point Endpoint Security (之前稱為 Check Point Integrity) 使用者的通報，這些使用者在套用此資訊安全公告 MS08-037 所提供的安全性更新後會發生網際網路連線問題，Microsoft 目前正持續與 Check Point 聯手調查此問題。 Microsoft 鼓勵 ZoneAlarm 與 Check Point Endpoint Security 使用者檢閱相關 Check Point 網站與此資訊安全公告，以獲取最新的指引或軟體更新。

Microsoft 提供協力廠商連絡資訊，以協助您尋求技術支援。 此份連絡資訊如有異動，恕不另行通知。 Microsoft 不保證此份協力廠商連絡資訊的正確性。 本文所討論的協力廠商產品是由獨立的公司所生產製造，與 Microsoft 無關。 Microsoft 對於這些產品的效能或可靠性不提供暗示或其他方式的擔保。

安裝這些安全性更新後，客戶可能會遇到哪些解除安裝問題？
Microsoft Windows 2000 和 Windows 2003 系統的支援版本將獲得 DNS 伺服器更新以及 DNS 用戶端更新。 DNS 伺服器更新和 DNS 用戶端更新會共用二進位檔案，而且必須以其安裝順序進行反向解除安裝，避免將共用的二進位檔案迴歸到舊版本。 Microsoft 知識庫文件編號 823836 記錄了解除安裝這些安全性更新時，目前已知可能會發生的問題。

安裝此安全性更新後，可能會發生哪些隨機通訊端連線問題？
根據預設，此資訊安全公告所提供的 DNS 更新會利用大量的可用通訊端來提供更大的 Entropy。 然而，若使用者已在登錄中定義連接埠範圍，那麼更新便會採用使用者定義的設定，且僅會配置定義的通訊端。

可在下列登錄位置中定義通訊端範圍：

HKLM\System\CurrentControlSet\Services\DNS\Parameters Reg key Name: SocketPoolSize

注意：必須重新啟動 DNS 服務才能實作這些變更。

定義通訊端集區範圍的作用為何？
可能必須定義通訊端範圍，讓 DNS 可以從其中選擇通訊端，避免與需要相同的通訊端集區進行通訊的其他應用程式或服務發生衝突。 如需更多有關這些登錄機碼設定的詳細資料，請參閱 MaxUserPort 和 Microsoft 知識庫文件編號 812873。

定義通訊端集區範圍時，作業系統之間存在哪些差異？
MaxUserPort 登錄機碼在 Windows Vista 和 Windows Server 2008 上的意義，與在 Microsoft Windows Server 2000 和 Windows Server 2003 上的意義不同。Microsoft 知識庫文件編號 929851 會分別針對 Windows Vista 和 Windows Server 2008，說明其行為上的變化。

在 Microsoft Windows Server 2000 和 Windows Server 2003 中，設定 MaxUserPort 可定義動態連接埠範圍的結束點。 範圍以 1024 開始，持續至 MaxUserPort 登錄機碼設定中的使用者定義值。 在安裝此資訊安全公告所提供的更新後，Microsoft Windows Server 2000 和 Windows Server 2003 上的預設行為將為：從連接埠範圍 49152 到 65535 隨機配置通訊端。如果已定義 MaxUserPort 範圍，則將從 1024 到 MaxUserPort 登錄機碼設定中的定義值，隨機配置連接埠。 如需保留 Microsoft Windows 2000 Server 和 Windows Server 2003 上連接埠範圍的詳細資訊，請造訪 Microsoft 知識庫文件編號 812873。

在 Windows Vista 和 Windows Server 2008 中，設定 MaxUserPort 可定義動態連接埠範圍的起點。 依照預設，在 Windows Vista 和 Windows Server 2008 上的範圍是 49152 到 65535。

何處可找到檔案資訊詳細資料？  
檔案資訊詳細資料可在 Microsoft 知識庫文件編號 953230 中找到。

我所使用的軟體是這個資訊安全公告中討論的軟體之舊版。 該怎麼辦？  
本公告所列出的受影響軟體版本已經過測試判斷哪些版本會受到影響。 其他版本超出它們的支援週期。 若要瞭解您的軟體版本的支援週期，請造訪 Microsoft 產品技術支援週期網站。

使用此軟體舊版的客戶應優先考慮移轉至支援的版本，以避免因潛在的弱點而遭受攻擊。 如需更多有關 Windows 產品週期的資訊，請造訪 Microsoft 產品技術支援週期。 如需瞭解這些軟體版本延伸安全性更新支援服務週期的相關資訊，請造訪 Microsoft 產品支援服務。

需要舊版額外支援服務的客戶，請連絡 Microsoft 客戶小組人員、技術支援經理或適當的 Microsoft 協力廠商，以取得所需的額外支援。 尚未簽訂聯盟、優先或授權合約的客戶，可以連絡當地的 Microsoft 銷售辦公室。 如需連絡資訊，請造訪 Microsoft 全球資訊網站，選擇國家，然後按一下 [Go] 查看各地的連絡電話號碼。 連絡時，請指明要連絡當地優先支援服務行銷經理。 如需更多資訊，請參閱 Windows 作業系統產品技術支援週期常見問題集 (英文)。

*Windows Server 2008 Server Core 安裝會受影響。 對於受支援的 Windows Server 2008 版本，無論 Windows Server 2008 是否使用 Server Core 安裝選項，這個更新均以相同的嚴重性等級套用。 如需這個安裝選項的詳細資訊，請參閱 Server Core (英文)。 請注意，Server Core 安裝選項不適用於某些 Windows Server 2008 版本；請參閱比較 Server Core 安裝選項 (英文)。

Windows DNS 用戶端和 Windows DNS 伺服器中有一個偽造弱點。 這個弱點可能會允許遠端未經驗證的攻擊者快速可靠地偽造回應，並將記錄插入 DNS 伺服器或用戶端快取中，進而重新導向網際網路流量。

若要以一般性弱點清單中的標準項目來檢視此弱點，請參閱 CVE-2008-1447。

Windows DNS 伺服器有一個快取中毒弱點。 此弱點可能會允許未經驗證的遠端攻擊者，將蓄意製作的回應傳送給內含弱點之系統所發出的 DNS 要求，因而破壞 DNS 快取，並且將網際網路流量從合法的位置重新導向。

若要以一般性弱點清單中的標準項目來檢視此弱點，請參閱 CVE-2008-1454。

管理您必須部署到您組織中的伺服器、桌上型電腦及行動系統的軟體和安全性更新。 如需更多資訊，請參閱 TechNet 更新管理中心。 Microsoft TechNet 資訊安全網站提供了有關 Microsoft 產品安全性的其他資訊。

安全性更新可以從 Microsoft Update、Windows Update 及 Office Update 取得。 安全性更新也可以從 Microsoft 下載中心取得。 您也可以利用「安全性更新」("security update") 關鍵字搜尋輕易地找到安全性更新。

最後，您可以從 Microsoft Update Catalog 下載安全性更新。 Microsoft Update Catalog 提供透過 Windows Update 及 Microsoft Update 所公佈內容的搜尋式目錄，包括安全性更新、驅動程式和 Service Pack。 只要以資訊安全公告編號 (例如，"MS07-036") 執行搜尋，您就可新增所有適用的更新到置物籃 (包括同一項更新的不同語言)，再下載到您自選的資料夾中。 如需更多關於 Microsoft Update Catalog 的相關資訊，請參閱 Microsoft Update Catalog 常見問題集。

偵測與部署指南

Microsoft 已提供本月安全性更新之偵測與部署指南。 此指南還能幫助 IT 專業人員瞭解如何使用各項工具來協助部署安全性更新，像是 Windows Update、Microsoft Update、Office Update、Microsoft Baseline Security Analyzer (MBSA)、Office Detection Tool、Microsoft Systems Management Server (SMS)、Extended Security Update Inventory Tool (加強版安全性更新清查工具)。 如需更多資訊，請參閱 Microsoft 知識庫文件編號 910723。

Microsoft Baseline Security Analyzer

Microsoft Baseline Security Analyzer (MBSA) 能讓系統管理員掃描本機和遠端系統，偵查任何缺少安全性更新以及一般安全性設定錯誤的狀況。 如需更多有關 MBSA 的資訊，請造訪 Microsoft Baseline Security Analyzer 網站 (英文)。

以下表格提供此安全性更新的 MBSA 偵測摘要。

如需更多 MBSA 2.1 相關資訊，請參閱 MBSA 2.1 常見問題集。

Windows Server Update Services

透過 Windows Server Update Services (WSUS)，系統管理員可以部署 Windows 2000 作業系統及更新版本、Office XP 及更新版本、Exchange Server 2003 及 SQL Server 2000 的最新重大更新與安全性更新。如需更多有關如何利用 Windows Server Update Services 部署安全性更新的資訊，請造訪 Windows Server Update Services 網站。

Systems Management Server

以下表格提供本安全性更新的 SMS 偵測與部署摘要。

SMS 2.0 和 SMS 2003 可利用內含安全性更新盤點工具 (SUIT) 的 SMS SUS Feature Pack (SUSFP) 來偵測安全性更新。 另請參閱適用於 Systems Management Server 2.0 的下載 (英文)。

SMS 2003 可使用 Microsoft Update 專用 SMS 2003 盤點工具 (ITMU) 來偵測由 Microsoft Update 所提供，並由 Windows Server Update Services 支援的安全性更新。 如需 SMS 2003 ITMU 的詳細資訊，請參閱 SMS 2003 Inventory Tool for Microsoft Updates (SMS 2003 Microsoft Updates 清查工具) (英文)。 SMS 2003 也可以使用 Microsoft Office Inventory Tool 來偵測 Microsoft Office 應用程式所需的更新。 如需更多有關 Office Inventory Tool (Office 清查工具) 及其他掃描工具的資訊，請參閱 SMS 2003 Software Update Scanning Tools (SMS 2003 軟體更新掃描工具) (英文)。 另請參閱適用於 Systems Management Server 2003 的下載 (英文)。

System Center Configuration Manager (SCCM) 2007 使用 WSUS 3.0 來偵測更新。 如需更多關於 SCCM 2007 軟體更新管理的資訊，請造訪 System Center Configuration Manager 2007 網站。

Windows Server 2008 注意事項：Microsoft Systems Management Server 2003 Service Pack 3 包含對 Windows Server 2008 管理能力的支援。

如需有關 SMS 的詳細資訊，請造訪 SMS 網站。

如需瞭解詳細相關資訊，請參閱 Microsoft 知識庫文件編號 910723： 每月發行之偵測與部署指導文件的摘要清單。

Update Compatibility Evaluator 和應用程式相容性工具組

更新時常會寫入您應用程式執行所需的相同檔案和登錄設定。 這可能會觸發不相容性，而拉長部署安全性更新的時間。 您可以使用 Application Compatibility Toolkit 5.0 隨附的 Update Compatibility Evaluator 元件，針對所安裝的應用程式，簡化其測試和驗證 Windows 更新的過程。

Application Compatibility Toolkit (ACT) 包含必要的工具和文件，可讓您在環境中部署 Microsoft Windows Vista、Windows Update、Microsoft 安全性更新或新版 Windows Internet Explorer 之前，評估及減輕應用程式相容性問題。

受影響的軟體

如需有關您使用系統的特定安全性更新資訊，請按下適當的連結：