0x00000071: SESSION5_INITIALIZATION_FAILED

0x00000071: SESSION5_INITIALIZATION_FAILED

0x00000071: SESSION5_INITIALIZATION_FAILED

Эти коды кодов (SESSION1 - SESSION5) указывают место в NTOS\INIT\INIT.C,
где была допущена ошибка.



Параметры:


1. указывает код статуса, который показал, что инициализация NT не
прошла успешно.





 

Windows NT 2000 XP

Применяется к следующим системам:

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0
  • Microsoft Windows NT Server 4.0 Terminal Server Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows XP 64-Bit Edition
  • Microsoft Windows XP Professional




MS03-007: Unchecked Buffer in Windows Component May Cause Web Server
Compromise




Относится стопу SESSION5_INITIALIZATION_FAILED



Microsoft впервые выпустил эту статью 17, 2003. В то время Microsoft был
информирован о дыре в безопасности Windows 2000 Servers на IIS 5.0. Для
атак использовался WebDAV, но корем уязвимости был Ntdll.dll.

Microsoft выпустил патч для Windows 2000 и продолжил работу над главной
проблемой. Windows NT 4.0 так же имеет уязвимость в Ntdll.dll, но он не
поддерживает WebDAV, поэтому эта уязвимость не может быть использована
для атак Windows NT 4.0. Но патч для Windows NT 4.0 был выпущен всё
равно.

К тому же Microsoft изучает уязвимости в Windows XP. Тем не менее, как и
Windows NT 4.0, Windows XP не устанавливает Internet Information
Services (IIS) по умолчанию. 28 мая 2003 Microsoft выпустил патч для
Windows XP и Windows XP Service Pack 1.



Предупреждение:

Если вы используете Windows 2000 Service Pack 2 (SP2), вы
должны проверить версию Ntoskrnl.exe до установки патча. Сделайте это
так:

1. Откройте %Windir%\System32 folder.

2. Правой кнопкой мыши на Ntoskrnl.exe - Свойства (Properties)
- Закладка Версия (Version tab).

Версии Ntoskrnl.exe с 5.0.2195.4797 до 5.0.2195.4928 несовместимы с этим
патчем. Эти версии были разработаны только для Microsoft Product Support
Services hotfixes. Если вы установите этот патч на компьютер с такими
версиями Ntoskrnl.exe, копм зависнет и появиться "Stop 0x00000071"
сообщение после перезагрузки. Если такое случиться, вам необходимо
восстановить Windows, используя Windows 2000 Recovery Console и бекапную
копию Ntdll.dll, которая находиться в папке Winnt\$NTUninstallQ815021$.

Чтобы обновить такой Ntoskrnl.exe вы должны связаться с Microsoft
Product Support Services до установки патча. Номера телефонов и тарифы
оплат вы найдёте на

http://support.microsoft.com/default.aspx?scid=sz;en-us;top

Или вы можете установить Windows 2000 Service Pack 3 (SP3) до
установки патча.



Симптомы:

Windows 2000 поддерживает World Wide Web Distributed Authoring
and Versioning (WebDAV) протокол. WebDAV, как это описано в RFC 2518,
это набор расширений для Hypertext Transfer Protocol (HTTP), который
обеспечивает стандарты для правки и управление файлами между
компьютерами в Internet. Просмотреть RFC 2518 можно по адресу:


ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt


Эта уязвимость существует в Windows компонентах, которыми пользуется
WebDAV. И появляется потому, что компоненты содержат непроверяемый буфер
(unchecked buffer).

Взломщики могут воспользоваться уязвимостью, посылая специально
сформированные HTTP запросы на компьютер с Microsoft Internet
Information Services (IIS). Запрос может спровоцировать падение сервера
или запустить коды взломщиков по их выбору. Код будет выполняться в
контексте безопасности IIS сервиса. (По умолчанию, IIS запускается в
LocalSystem контексте).

Microsoft рекомендует установить патч немедленно. Для дополнительной
информации смотрите Microsoft Knowledge Base:


816930
MS03-007: How to Work Around the Vulnerability That Is
Discussed in Microsoft Knowledge Base Article 815021



Смягчающие факторы


В конфигурации по умолчанию URLScan предупреждает об уязвимостях.
URLScan - это часть IIS Lockdown. Для дополнительной информации об
URLScan смотрите:


http://www.microsoft.com/technet/security/URLScan.aspp


Для дополнительной информации об IIS Lockdown tool смотрите:


http://www.microsoft.com/technet/security/tools/tools/locktool.asp


Данная уязвимость может использоваться только удалённо, через
установленную связь по Web. 

 

вверх


 

Решения:

Windows 2000

Для решения проблемы, установите последний пакет исправлений СП для Microsoft Windows
2000.





Информация по исправлению безопасности:

 

Windows XP

Следующие файлы можно скачать с Microsoft Download Center:

Windows XP (все языки)


Download the 815021 package now
.

Windows XP 64-Bit Edition


Download the 815021 package now
.

Дата Выпуска: May 28, 2003

 

Для дополнительной информации:


119591
How to Obtain Microsoft Support Files from Online Services

Microsoft проскандировал эти файлы на вирусы, используя самые
обновлённые базы.

Предпосылки:

Этот патч должен быть установлен на Windows XP или Windows XP Service
Pack 1 (SP1).

Для дополнительной информации:


322389
How to Obtain the Latest Windows XP Service Pack

 

Информация по установке:

Могут быть использованы следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /n: Не сохранять текущую конфигурацию (удаление патча
    впоследствии невозможно).
  5. /o: Переписывает OEM файлы без запросов.
  6. /z: Не перезагружать после того, как установка закончится.
  7. /q: Использовать "Тихий способ" (без вмешательства
    пользователя).
  8. /l: Вывести список установленных хотфиксов.
  9. /x: Распаковать файлы, не запуская установку.



Например, чтобы установить патч без вмешательства пользователя и не
перезагружать компьютер после установки, используйте следующие команды:

q815021_wxp_sp2_x86_enu /u /q /z

Чтобы убедится, что установка патча прошла успешно, проверьте наличие
ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021

 

Информация по удалению:

Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ (Add/Remove
Programs tool) в Контрольной Панели (Control Panel).

Системный администратор может использовать Spunist.exe утилиту для
удаления патча. Spuninst.exe находится в %Windir%\$NTUninstallQ815021$\Spuninst
папке и поддерживает следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /z: Не перезагружать после того, как установка закончится.
  5. /q: Использовать "Тихий способ" (без вмешательства
    пользователя).

Требование по перезагрузке:

Необходимо перезагрузить компьютер после установки или удаления патча,
так как он применяется к ядру системы, которое конфигурируется о время
загрузки.

 

Файловая информация:

В английской версии этих фалов атрибуты должны быть, как указано в
таблице или позже. Даты и время указаны в универсальном времени (UTC).
Когда вы просматриваете файлы, даты будут представлены в локальном
времени. Чтобы определить различие во времени, воспользуйтесь утилитами
системы Дата и Время.

Windows XP

Дата Время Версия Размер Путь Имя файла

---------------------------------------------------------------------------------

02-May-2003 15:03 5.1.2600.114 651,264 %Windir%\System32\Ntdll.dll
pre-SP1

01-May-2003 20:56 5.1.2600.1217 654,336 %Windir%\System32\Ntdll.dll
with SP1

Windows XP 64-Bit Edition

Дата Время Версия Размер Путь Имя файла

------------------------------------------------------------------------------------

02-May-2003 15:03 5.1.2600.114 1,498,112 %WinDir%\System32\Ntdll.dll
pre-SP1

01-May-2003 14:57 5.1.2600.114 654,336 %WinDir%\System32\Wntdll.dll
pre-SP1

01-May-2003 20:56 5.1.2600.1217 1,508,864 %WinDir%\System32\Ntdll.dll
with SP1

30-Apr-2003 21:43 5.1.2600.1217 657,408 %WinDir%\System32\Wntdll.dll
with SP1

Вы так же можете посмотреть файлы, которые этот патч устанавливает,
проверив ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
XP\SP2\Q815021\Filelist

вверх


Windows 2000

Информация по установке:

Следующие файлы доступны для скачивания с Microsoft Download Center:

Все языки, за исключением Japanese NEC


Download the 815021 package now
.

Japanese NEC


Download the 815021 package now
.

Дата выпуска: March 17, 2003

 

Для дополнительной информации:


119591
How to Obtain Microsoft Support Files from Online Services
Microsoft проскандировал эти файлы на вирусы, используя самые
обновлённые базы.

 

Предпосылки:

Патч должен быть установлен на Windows 2000 Service Pack 2 (SP2) или
Windows 2000 Service Pack 3 (SP3). Для дополнительной информации
смотрите Microsoft Knowledge Base:


260910
How to Obtain the Latest Windows 2000 Service Pack

Примечание:

Если вы используете Windows 2000 Service Pack 2 (SP2), посмотрите
предупреждение в начале этой статьи перед установкой патча.



 

Информация по установке:

Могут быть использованы следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /n: Не сохранять текущую конфигурацию (удаление патча
    впоследствии невозможно).
  5. /o: Переписывает OEM файлы без запросов.
  6. /z: Не перезагружать после того, как установка закончится.
  7. /q: Использовать "Тихий способ" (без вмешательства
    пользователя).
  8. /l: Вывести список установленных хотфиксов.
  9. /x: Распаковать файлы, не запуская установку.

Например, чтобы установить патч без вмешательства пользователя и не
перезагружать компьютер после установки, используйте следующие команды:

q815021_w2k_sp4_x86_en /u /q /z

Чтобы убедится, что установка патча прошла успешно, проверьте наличие
ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
2000\SP4\Q815021



Информация по удалению:

Чтобы удалить патч воспользуйтесь
Установкой/Удалением Программ (Add/Remove Programs tool) в Контрольной
Панели (Control Panel) - "Windows 2000 Hotfix (SP4) Q815021.

"Системный администратор может использовать Spunist.exe утилиту для
удаления патча. Spuninst.exe находится в %Windir%\$NTUninstallQ815021$\Spuninst
папке и поддерживает следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /z: Не перезагружать после того, как установка закончится.
  5. /q: Использовать "Тихий способ" (без вмешательства
    пользователя).

Требование по перезагрузке:

Необходимо перезагрузить компьютер после установки или удаления патча,
так как он применяется к ядру системы, которое конфигурируется на
загрузке.





 

Файловая информация:

В английской версии этих фалов атрибуты должны быть, как указано в
таблице или позже. Даты и время указаны в универсальном времени (UTC).
Когда вы просматриваете файлы даты, будут представлены в локальном
времени.

Чтобы определить различие во времени, воспользуйтесь утилитами системы
Дата и Время.

Дата Время Версия Размер Путь Имя файла

-----------------------------------------------------------------------

15-Mar-2003 01:23 5.0.2195.6685 476,944 %Windir%\System32\Ntdll.dll

Вы так же можете посмотреть файлы, которые этот патч устанавливает,
проверив ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows
2000\SP4\Q815021\Filelist

вверх


Windows NT 4.0 (All Versions)

Microsoft Internet Information Server (IIS) не предназначен для
использования на Windows NT Server 4.0, Terminal Server Edition, и
поэтому ими не поддерживается. Microsoft рекомендует пользователям
использующим IIS 4.0 на Windows NT Server 4.0, Terminal Server Edition
защитить свою систему, удалив IIS 4.0.

 

Информация по установке:

Следующие файлы доступны для скачивания с Microsoft Download Center:

Windows NT 4.0:

Все языки, исключая Japanese NEC и Chinese - Hong Kong:


Download the 815021 package now
.

Japanese NEC:

Download the 815021 package now
.

Chinese - Hong Kong:


Download the 815021 package now
.

Windows NT Server 4.0, Terminal Server Edition:

Все языки:

Download the 815021 package now
.

Дата выпуска: April 23, 2003

 

Для дополнительной информации:


119591
How to Obtain Microsoft Support Files from Online Services

Microsoft проскандировал эти файлы на вирусы, используя самые
обновлённые базы.

Предпосылки:

Этот патч должен быть установлен на Windows NT 4.0 Service
Pack 6a (SP6a) или Windows NT Server 4.0, Terminal Server Edition
Service Pack 6 (SP6). Для дополнительной информации смотрите Microsoft
Knowledge Base:


152734
How to Obtain the Latest Windows NT 4.0 Service Pack

 

Информация по установке:

Могут быть использованы следующие команды:

  1. /y : Удалить (только с /m или /q ).
  2. /f : Закрыть другие программы, когда компьютер выключается.
  3. /n : Не создавать папку Uninstall.
  4. /z : Не перезагружать после того, как установка закончится.
  5. /q : Использовать "Тихий" или несопровождаемый способ с
    вмешательством пользователя. (Это команда является расширенной
    командой - /m)
  6. /m : Использовать несопровождаемый способ с вмешательством
    пользователя.
  7. /l: Вывести список установленных хотфиксов.
  8. /x: Распаковать файлы, не запуская установку.

Например, чтобы установить патч c вмешательством пользователя и не
перезагружать компьютер после установки, используйте следующие команды:

q815021i /q /z

Чтобы убедится, что установка патча прошла успешно, проверьте наличие
ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021

Информация по удалению:

Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ (Add/Remove
Programs tool) в Контрольной Панели (Control Panel).

Системный администратор может использовать Spunist.exe утилиту для
удаления патча. Spuninst.exe находится в

%Windir%\$NTUninstallQ815021$\Spuninst папке и
поддерживает следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /z: Не перезагружать после того, как установка закончится.
  5. /q: Использовать "Тихий способ" (без вмешательства
    пользователя).

Требование по перезагрузке:

Необходимо перезагрузить компьютер после установки или удаления патча,
так как он применяется к ядру системы, которое конфигурируется на
загрузке.

 

Файловая информация:

В английской версии этих фалов атрибуты должны быть, как указано в
таблице или позже. Даты и время указаны в универсальном времени (UTC).
Когда вы просматриваете файлы даты, будут представлены в локальном
времени. Чтобы определить различие во времени, воспользуйтесь утилитами
системы Дата и Время.

Дата Время Версия Размер Путь Имя файла

----------------------------------------------------------------------------------------

24-Mar-2003 10:38 4.0.1381.7212 367,376 %WinDir%\System32\Ntdll.dll
Windows NT 4.0

24-Mar-2003 07:12 4.0.1381.33546 369,936 %WinDir%\System32\Ntdll.dll
TSE

Дополнительная информация:


http://www.microsoft.com/technet/security/bulletin/MS03-007.asp




Если на вашем компьютере несколько процессоров (multiple processors),
необходимо запустить Microsoft Baseline Security Analyzer (MBSA) с /nosum
командой, чтобы запретить проверку checksum. Для дополнительной
информации обратитесь к Microsoft Knowledge Base:


320454
Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Is
Available

 

вверх