[就着 MS03-026 炒冷饭]
喝醉的咖啡 2003-08-13 11:01:11 2003.7.16. 与以往一样,微软公布了几个安全漏洞。如果订阅了微软的Microsoft Security Notification Service(http://register.microsoft.com/regsys/pic.asp 建议W32的程序员都订阅,尤其SQLServer用户)的朋友不妨看看你的信箱——3个安全漏洞,分别是:
1、Buffer Overrun In RPC Interface Could Allow Code Execution (823980)
2、Unchecked Buffer in Windows Shell Could Enable System Compromise (821557)
3、Flaw in ISA Server Error Pages Could Allow Cross-Site Scripting Attack (816456)
7.23. 接着公布了三个漏洞,其中与我们关系较大的是 MS03-031: Cumulative Patch for Microsoft SQL Server (815495)
可是,与2001年7-8月份及2002年7-8月份分别公布的IIS和SQLServer的若干漏洞一样没能得到广大的“Windows用户”和“SQLServer用户”的重视。与 CodeRed 和 SQLSlammer相比,由于种种边界隔离设备多多少少挡去了一些攻击,这一次的W32.Blaster.Worm没能造成太大的影响(遗憾?)。
昨天得知W32.Blaster.Worm传播的消息时,看到《CCERT关于W32.Blaster.Worm蠕虫的公告(草案)》,其中提到
-----------------------------------------
应该在防火墙上阻塞TCP port 4444 ,
和下面的端口:
TCP 4444 蠕虫开设的后门端口,用于远程控制
UDP Port 69, 用于文件下载
TCP Port 135, 微软:DCOM RPC
-----------------------------------------
我没有样本,也没工夫去分析,不知道该蠕虫的传播机理是否进行了端口扫描,但我的团队开发的一个远程收发文系统中用到了RPC,端口是 5800。那么,我的RPC服务是否安全呢?
于是我想起早先写 RPC 应用时看到过的一篇文章,在这里与各位共享,希望对程序员有所帮助。
刊载于微软 MSDN 的:<Writing a Secure RPC Client or Server>
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/writing_a_secure_rpc_client_or_server.asp