0x00000071: SESSION5_INITIALIZATION_FAILED

 

Это коды кодов (SESSION1 - SESSION5) указывают место в NTOS\INIT\INIT.C, где была допущена ошибка.

Параметры:

1. указывает код статуса, который решил, что инициализация NT не прошла успешно.

 

Windows NT 2000 XP

Применяется к следующим системам:

  1. Microsoft Windows 2000 Advanced Server
  2. Microsoft Windows 2000 Professional
  3. Microsoft Windows 2000 Server
  4. Microsoft Windows NT Server 4.0
  5. Microsoft Windows NT Server 4.0 Terminal Server Edition
  6. Microsoft Windows NT Workstation 4.0
  7. Microsoft Windows XP 64-Bit Edition
  8. Microsoft Windows XP Professional

MS03-007: Unchecked Buffer in Windows Component May Cause Web Server Compromise

Относится стопу SESSION5_INITIALIZATION_FAILED

 

Microsoft впервые выпустил эту статью 17, 2003. В то время Microsoft был информирован о дыре в безопасности Windows 2000 Servers на IIS 5.0. Для атак использовался WebDAV, но в корне, уязвимым компонентом был Ntdll.dll. Microsoft выпустил патч для Windows 2000 и продолжил работу над главной проблемой. Windows NT 4.0 так же имеет основную уязвимость в Ntdll.dll, но он не поддерживает WebDAV, поэтому эта дыра не может быть использована для атак Windows NT 4.0. Microsoft всё равно выпустил патч для Windows NT 4.0. К тому же Microsoft изучает уязвимости в Windows XP. Тем не менее, как и Windows NT 4.0, Windows XP не устанавливает Internet Information Services (IIS) по умолчанию. 28 мая 2003 Microsoft выпустил патч для Windows XP и Windows XP Service Pack 1.

 

Предупреждение:

Если вы используете Windows 2000 Service Pack 2 (SP2), вы должны проверить версию Ntoskrnl.exe до установки патча. Сделайте это так:
1. Откройте %Windir%\System32 folder.
2. Правой кнопкой мыши на Ntoskrnl.exe - Свойства (Properties) - Закладка Версия (Version tab).
Версии Ntoskrnl.exe с 5.0.2195.4797 до 5.0.2195.4928 несовместимы с этим патчем. Эти версии были разработаны только для Microsoft Product Support Services hotfixes. Если вы установите этот патч на компьютер с такими версиями Ntoskrnl.exe, копм зависнет и появиться "Stop 0x00000071" сообщение после перезагрузки. Если такое случиться, вам необходимо восстановить Windows, используя Windows 2000 Recovery Console и бекапную копию Ntdll.dll, которая находиться в папке Winnt\$NTUninstallQ815021$.

Чтобы обновить такой Ntoskrnl.exe вы должны связаться с Microsoft Product Support Services до установки патча. Номера телефонов и тарифы оплат вы найдёте на http://support.microsoft.com/default.aspx?scid=sz;en-us;top

Или вы можете установить Windows 2000 Service Pack 3 (SP3) до установки патча.

 

Симптомы:

Windows 2000 поддерживает World Wide Web Distributed Authoring and Versioning (WebDAV) протокол. WebDAV, как это описано в RFC 2518, это набор расширений для Hypertext Transfer Protocol (HTTP), который обеспечивает стандарты для правки и управление файлами между компьютерами в Internet. Просмотреть RFC 2518 можно по адресу:
ftp://ftp.rfc-editor.org/in-notes/rfc2518.txt
Эта уязвимость существует в Windows компонентах, которыми пользуется WebDAV. Эта уязвимость появляется потому, что компоненты содержат непроверенный буфер (unchecked buffer).

Взломщики могут воспользоваться уязвимостью, посылая специально сформированные HTTP запросы на компьютер с Microsoft Internet Information Services (IIS). Запрос может спровоцировать падение сервера или запустить коды взломщиков по их выбору. Код будет выполняться в контексте безопасности IIS сервиса. (По умолчанию, IIS запускается в LocalSystem контексте).

Microsoft рекомендует установить патч немедленно. Для дополнительной информации смотрите Microsoft Knowledge Base:
816930 MS03-007: How to Work Around the Vulnerability That Is Discussed in Microsoft Knowledge Base Article 815021

Смягчающие факторы
В конфигурации по умолчанию URLScan предупреждает использование уязвимости. URLScan - это часть IIS Lockdown инструмента. Для дополнительной информации о URLScan смотрите:

http://www.microsoft.com/technet/security/URLScan.asp

Для дополнительной информации о IIS Lockdown tool смотрите:

http://www.microsoft.com/technet/security/tools/tools/locktool.asp

Уязвимость может использоваться только удалённо, через установленную связь по Web.

 

Решение:

Информация по Service Pack:

Windows 2000
Для решения проблемы, установите последний СП для Microsoft Windows 2000.

Информация по патчу безопасности:

 

Windows XP
Следующие файлы доступны для скачивания с Microsoft Download Center:

Windows XP (все языки)

Download the 815021 package now.

Windows XP 64-Bit Edition
Download the 815021 package now.

Дата Выпуска: May 28, 2003

 

Для дополнительной информации:

119591 How to Obtain Microsoft Support Files from Online Services

Microsoft проскандировал эти файлы на вирусы, используя самые обновлённые базы.

Предпосылки:

Этот патч должен быть установлен на Windows XP или Windows XP Service Pack 1 (SP1). Для дополнительной информации:
322389 How to Obtain the Latest Windows XP Service Pack

 

Информация по установлению:

Следующие команды могут использоваться:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /n: Не сохранять текущую конфигурацию (удаление патча впоследствии невозможно).
  5. /o: Переписывает OEM файлы без запросов.
  6. /z: Не перезагружать после того, как установка закончится.
  7. /q: Использовать "Тихий способ" (без вмешательства пользователя).
  8. /l: Вывести список установленных хотфиксов.
  9. /x: Распаковать файлы, не запуская установку.

Например, чтобы установить патч без вмешательства пользователя и не перезагружать компьютер после установки, используйте следующие команды:
q815021_wxp_sp2_x86_enu /u /q /z

Чтобы убедится, что установка патча прошла успешно, проверьте наличие ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021

 

Информация по удалению:

Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ (Add/Remove Programs tool) в Контрольной Панели (Control Panel).

Системный администратор может использовать Spunist.exe утилиту для удаления патча. Spuninst.exe находится в %Windir%\$NTUninstallQ815021$\Spuninst папке и поддерживает следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /z: Не перезагружать после того, как установка закончится.
  5. /q: Использовать "Тихий способ" (без вмешательства пользователя).

 

Требование по перезагрузке:

Вы обязаны перезагрузить компьютер после установки или удаления патча, так как он применяется к ядру системы, которое конфигурируется на загрузке.

 

Файловая информация:

В английской версии этих фалов атрибуты должны быть, как указано в таблице или позже. Даты и время указаны в универсальном времени (UTC). Когда вы просматриваете файлы, даты будут представлены в локальном времени. Чтобы определить различие во времени, воспользуйтесь утилитами системы Дата и Время.

Windows XP

Дата Время Версия Размер Путь Имя файла
---------------------------------------------------------------------------------
02-May-2003 15:03 5.1.2600.114 651,264 %Windir%\System32\Ntdll.dll pre-SP1
01-May-2003 20:56 5.1.2600.1217 654,336 %Windir%\System32\Ntdll.dll with SP1

Windows XP 64-Bit Edition

Дата Время Версия Размер Путь Имя файла
------------------------------------------------------------------------------------
02-May-2003 15:03 5.1.2600.114 1,498,112 %WinDir%\System32\Ntdll.dll pre-SP1
01-May-2003 14:57 5.1.2600.114 654,336 %WinDir%\System32\Wntdll.dll pre-SP1
01-May-2003 20:56 5.1.2600.1217 1,508,864 %WinDir%\System32\Ntdll.dll with SP1
30-Apr-2003 21:43 5.1.2600.1217 657,408 %WinDir%\System32\Wntdll.dll with SP1

Вы так же можете посмотреть файлы, которые этот патч устанавливает, проверив ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q815021\Filelist

 

 

Windows 2000
Информация по установлению:

Следующие файлы доступны для скачивания с Microsoft Download Center:

Все языки, за исключением Japanese NEC
Download the 815021 package now.

Japanese NEC
Download the 815021 package now.

Дата выпуска: March 17, 2003

 

Для дополнительной информации:

119591 How to Obtain Microsoft Support Files from Online Services

Microsoft проскандировал эти файлы на вирусы, используя самые обновлённые базы.

Предпосылки:

Патч должен быть установлен на Windows 2000 Service Pack 2 (SP2) или Windows 2000 Service Pack 3 (SP3). Для дополнительной информации смотрите Microsoft Knowledge Base:

260910 How to Obtain the Latest Windows 2000 Service Pack

Примечание: Если вы используете Windows 2000 Service Pack 2 (SP2), посмотрите предупреждение в начале этой статьи перед установкой патча.

 

Информация по установлению:

Следующие команды могут использоваться:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /n: Не сохранять текущую конфигурацию (удаление патча впоследствии невозможно).
  5. /o: Переписывает OEM файлы без запросов.
  6. /z: Не перезагружать после того, как установка закончится.
  7. /q: Использовать "Тихий способ" (без вмешательства пользователя).
  8. /l: Вывести список установленных хотфиксов.
  9. /x: Распаковать файлы, не запуская установку.

Например, чтобы установить патч без вмешательства пользователя и не перезагружать компьютер после установки, используйте следующие команды:
q815021_w2k_sp4_x86_en /u /q /z

Чтобы убедится, что установка патча прошла успешно, проверьте наличие ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021

 

Информация по удалению:

Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ (Add/Remove Programs tool) в Контрольной Панели (Control Panel) - "Windows 2000 Hotfix (SP4) Q815021."

Системный администратор может использовать Spunist.exe утилиту для удаления патча. Spuninst.exe находится в %Windir%\$NTUninstallQ815021$\Spuninst папке и поддерживает следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /z: Не перезагружать после того, как установка закончится.
  5. /q: Использовать "Тихий способ" (без вмешательства пользователя).

 

Требование по перезагрузке:

Вы обязаны перезагрузить компьютер после установки или удаления патча, так как он применяется к ядру системы, которое конфигурируется на загрузке.

 

Файловая информация:

В английской версии этих фалов атрибуты должны быть, как указано в таблице или позже. Даты и время указаны в универсальном времени (UTC). Когда вы просматриваете файлы даты, будут представлены в локальном времени. Чтобы определить различие во времени, воспользуйтесь утилитами системы Дата и Время.

Дата Время Версия Размер Путь Имя файла
-----------------------------------------------------------------------
15-Mar-2003 01:23 5.0.2195.6685 476,944 %Windir%\System32\Ntdll.dll

Вы так же можете посмотреть файлы, которые этот патч устанавливает, проверив ключ реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP4\Q815021\Filelist

 

 

Windows NT 4.0 (All Versions)
Microsoft Internet Information Server (IIS) не предназначен для использования на Windows NT Server 4.0, Terminal Server Edition, и поэтому ими не поддерживается. Microsoft рекомендует пользователям использующим IIS 4.0 на Windows NT Server 4.0, Terminal Server Edition защитить свою систему, удалив IIS 4.0.

 

Информация по установлению:

Следующие файлы доступны для скачивания с Microsoft Download Center:

Windows NT 4.0:
Все языки, исключая Japanese NEC и Chinese - Hong Kong:

Download the 815021 package now.
Japanese NEC:

Download the 815021 package now.
Chinese - Hong Kong:

Download the 815021 package now.

Windows NT Server 4.0, Terminal Server Edition:

Все языки:

Download the 815021 package now.
Дата выпуска: April 23, 2003

 

Для дополнительной информации:

119591 How to Obtain Microsoft Support Files from Online Services

Microsoft проскандировал эти файлы на вирусы, используя самые обновлённые базы.

Предпосылки:

Этот патч должен быть установлен на Windows NT 4.0 Service Pack 6a (SP6a) или Windows NT Server 4.0, Terminal Server Edition Service Pack 6 (SP6). Для дополнительной информации смотрите Microsoft Knowledge Base:

152734 How to Obtain the Latest Windows NT 4.0 Service Pack

 

Информация по установлению:

Следующие команды могут использоваться:

  1. /y : Удалить (только с /m или /q ).
  2. /f : Закрыть другие программы, когда компьютер выключается.
  3. /n : Не создавать папку Uninstall.
  4. /z : Не перезагружать после того, как установка закончится.
  5. /q : Использовать "Тихий" или несопровождаемый способ с вмешательством пользователя. (Это команда является расширенной командой - /m)
  6. /m : Использовать несопровождаемый способ с вмешательством пользователя.
  7. /l: Вывести список установленных хотфиксов.
  8. /x: Распаковать файлы, не запуская установку.

Например, чтобы установить патч c вмешательством пользователя и не перезагружать компьютер после установки, используйте следующие команды:
q815021i /q /z

Чтобы убедится, что установка патча прошла успешно, проверьте наличие ключа реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Hotfix\Q815021

 

Информация по удалению:

Чтобы удалить патч воспользуйтесь Установкой/Удалением Программ (Add/Remove Programs tool) в Контрольной Панели (Control Panel).

Системный администратор может использовать Spunist.exe утилиту для удаления патча. Spuninst.exe находится в

%Windir%\$NTUninstallQ815021$\Spuninst папке и поддерживает следующие команды:

  1. /?: Показать все команды.
  2. /u: Использовать несопровождаемый способ.
  3. /f: Закрыть другие программы, когда компьютер выключается.
  4. /z: Не перезагружать после того, как установка закончится.
  5. /q: Использовать "Тихий способ" (без вмешательства пользователя).

 

Требование по перезагрузке:

Вы обязаны перезагрузить компьютер после установки или удаления патча, так как он применяется к ядру системы, которое конфигурируется на загрузке.

 

Файловая информация:

В английской версии этих фалов атрибуты должны быть, как указано в таблице или позже. Даты и время указаны в универсальном времени (UTC). Когда вы просматриваете файлы даты, будут представлены в локальном времени. Чтобы определить различие во времени, воспользуйтесь утилитами системы Дата и Время.

Дата Время Версия Размер Путь Имя файла
----------------------------------------------------------------------------------------
24-Mar-2003 10:38 4.0.1381.7212 367,376 %WinDir%\System32\Ntdll.dll Windows NT 4.0
24-Mar-2003 07:12 4.0.1381.33546 369,936 %WinDir%\System32\Ntdll.dll TSE

 

Дополнительная информация:

http://www.microsoft.com/technet/security/bulletin/MS03-007.asp

 

Если на вашем компьютере несколько процессоров (multiple processors), вы должны запустить Microsoft Baseline Security Analyzer (MBSA) с /nosum командой, чтобы запретить проверку checksum. Для дополнительной информации обратитесь к Microsoft Knowledge Base:

320454 Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Is Available

Hosted by uCoz