今天单位邮件系统出现异常,状况表现为:用户端收发邮件缓慢,服务器端cpu资源使用一直保持100%。
单位邮件服务器软硬件配置如下:
硬件:P4 1600、512M、60G
软件:Win2k Advanced SVR 、MSExchange2k等
经过分析,结果分享如下:
漏洞说明:
Microsoft Security Bulletin MS02-025:
Malformed Mail Attribute can Cause Exchange
2000 to Exhaust CPU Resources ( Q320436 )
事件描述:
谁应该阅读此篇文件:使用Microsoft Exchange2000系统管理者。
受影响的地方:阻断服务(Denial of service)。
风险值:紧急。
建议:安装修正程式/补丁
有关此修正程式的相关资讯可以参考下列网址:唉!好好看吧
http://www.microsoft.com/technet/security/bulletin/MS02-025.asp
影响平台:
MS Exchange2000
弱点详述:
为了支援电子邮件能在不同的平台上进行交换,Exchange messages使用RFC文件821%26amp;822所定义的SMTP mail messages规格。Exchange2000在处理所收到电子邮件的某几个变异的RFC message规格上有一个漏洞,当Exchange2000收到包含上述的某几个变异的RFC message时,Store service会耗尽100%的CPU可用资源来处理这些message。倒~~真笨
这会造成一个安全上的弱点,攻击者可以利用这个弱点对系统进行阻断服务攻击(denial of service),攻击者可以直接连线到Exchage手动地传递一个变异的RFC message,当变异的message接到并由Store service进行理时,CPU的使用率保持在100%,只要Exchage Store service仍在处理这个讯息,攻击的影响就会一直持续,重新启动information Store service或重新开机才能停止这个阻断服务的攻击。
弱点减轻要素:
透过这个弱点来进行攻击是暂时性的,一旦服务器完成message的处理,服务器便会恢复正常运作,但我单位的服务器我等了他一个下午,还在那儿一个劲的处理,也不嫌烦:(
所以说一旦服务器开始处理该讯息便无法中断,即使是重新开机。
但这个弱点不会提供任何让攻击者取得系统上资料或使攻击者提升权限的能力。
一个成功的攻击,攻击者必须手支新增攻击的message并传送给目标主机,大多经由一些仿造的Server连线,不可能经E-mail client(像outlook或outlook express)来制作变异的message封包。
弱点识别码:CAN-2002-0368
解决方法:
修正程式可以从下列网址取得:
Microsoft Exchange 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38951
注意:
Exchage2000的修正程式必须安装在exchage2ksp2之上。
