DragonSoft 電子報

參考台灣微軟 MS04-011 連結進行修補的用戶，建議確認修補

( * 2004/4/21 加註: 此電子報於台灣時間 2004/4/20 發出，微軟也於台灣時間 2004/4/21 修正了 http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp 的連結頁面。)

微軟在台灣時間 2004/4/14 日發佈四月份的安全修補程式，編號為 MS04-011 至 MS04-014。 DragonSoft 安全研究小組一如往常的必須對相關修補程式進行測試，當 DragonSoft 安全研究小組在測試 MS04-011 弱點時。卻意外發現台灣微軟的修補程式並不正確。因此在 2004/4/15 清晨依照台灣微軟網站上的聯絡方式進行聯絡。
(參考 http://www.microsoft.com/taiwan/misc/mstc/contactus.htm)

* 雖然可以寄到 security@microsoft.com 進行聯絡，不過既然台灣微軟的 "資訊安全相關的更新程式" 的聯絡 email 是 mstcpss@mssupport.microsoft.com，那應該是依照台灣微軟提供的方式應該可以比較快得到回應。

既然是台灣微軟，那就以中文的 HTML 格式發信，發信內容如下:

From: Ming-Jye Tsai 
To: mstcpss@mssupport.microsoft.com ; mstccs@mssupport.microsoft.com 
Sent: Thursday, April 15, 2004 2:48 AM
Subject: MS04-011 相關弱點的疑問

您好:

   我是 DragonSoft Security Associates, Inc 的 CEO,
   以下為 DragonSoft 安全研究小組對 MS04-011 相關弱點所提出的疑問,
   我想這些疑問只能請教微軟才能夠得到答案.

   對於微軟 4 月份所發佈 MS04-011 之弱點修補程式有一個疑問請教,
   根據 http://www.microsoft.com/taiwan/security/bulletins/MS04-011.asp
   網頁中指出, 影響 Windows Server 2003 的漏洞分別有 7 個弱點:
     1. LSASS 弱點 - CAN-2003-0533
     2. PCT 弱點 - CAN-2003-0719 
     3. 說明及支援中心弱點 -CAN-2003-0907 
     4. H.323 弱點* - CAN-2004-0117 
     5. 交涉 SSP 弱點 - CAN-2004-0119
     6. SSL 弱點 - CAN-2004-0120
     7. ASN.1 Double Free (重複釋放相同記憶體) 弱點 - CAN-2004-0123
   修補檔案的列表中顯示會有 24 個修補檔案.

   但是網頁連結
   http://www.microsoft.com/downloads/details.aspx?FamilyId=3D7FFFF9-A497-42FF-90E7-283732B2E117&displaylang=en
   顯示出 WindowsServer2003-KB828028-x86-ENU.exe 的檔案大小為 317KB, 
   似乎不像壓縮了 24 個相關修補檔案.

   在下載並解開壓縮檔案後, 發現除了執行 HotFix 所需的檔案外,
   修補檔案只找到一個修補檔: 60,928 bytes 的 Msasn1.dll.
   另外也發現 XP 的修補檔也是類似的情形.

   DragonSoft 為 Vulnerability Assessment(弱點評估) 軟體製造商,
   必須提供客戶正確的弱點以及修補方式.
   剛好在分析 MS04-011 弱點時發現一些疑問,
   不曉得台灣微軟是否能夠提供釋疑? 或者是由微軟總公司提供相關資訊?

   不論如何, 安全弱點的問題越來越受重視, 建立聯絡之管道是必要的,
   將來有相關之疑問時, 如果台灣微軟可以協助, 我們將以台灣微軟為優先.

由於台灣許多的資安單位對於微軟 MS04-011 修補程式的參考網址是指向:
http://www.microsoft.com/taiwan/security/bulletins/ms04-011.asp，
但這裡卻有許多的修補連結都是錯的，在沒有進行確認的情形下，可能造成許多政府機關及企業用戶的修補都只是 "補安心的"，並沒有真正的進行修補。

* 錯誤的修補檔連結:

Microsoft Windows NT Server 4.0 Service Pack 6a
連結到 MS04-006, KB830352 修補。
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
連結到 MS04-006, KB830352 修補。
Microsoft Windows XP，Microsoft Windows XP Service Pack 1
連結到 MS04-007, KB828028 修補。
Microsoft Windows XP 64-Bit Edition Version 2003
連結到 MS04-007, KB828028 修補。
Microsoft Windows Server 2003
連結到 MS04-007, KB828028 修補。
Microsoft Windows Server 2003 64-Bit Edition
連結到 MS04-006, KB830352 修補。

從 4/15 發信給台灣微軟至今天 4/20 清晨尚未獲得回應，為避免用戶因為錯誤的連結資訊而安裝到舊的修補檔，如果是參考上述連結進行修補的 Windows 用戶，建議再次進行確認安裝的是 KB835732 的修補，或直接連結至: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx 下載及安裝 KB835732 修補檔案以確保安全。

安全沒有技巧，它不過就是 = 疏忽少一點，細心多一些。

關於 DragonSoft Security Associates, Inc. (中華龍網股份有限公司)

DragonSoft 於 2002 年推出全球第一個全中文的網路安全弱點評估軟體.
DragonSoft Secure Scanner 於 2003 年 10 月獲得國際安全組織 CVE(Common Vulnerability and Exposure) 的認可, 為台灣第一個獲得 CVE 認可的資訊安全產品.
DragonSoft 安全弱點資料庫於 2004 年 1 月取得國際安全組織 CVE 頒發的 "CVE Compatibility Questionnaire Posted" 認證標章.

國際安全組織 CVE (Common Vulnerability and Exposure)，是目前在國際上最具公信力的安全弱點披露與發佈單位，其目前與全球九十四個組織機構（包含相關之非營利政府單位、學術研究機構、公司單位）及全球一百四十一項安全產品、三十九家開發原廠共同合作，「CVE」是編號與命名特定弱點的標準協定，以確保哪個弱點已經清楚確實的被辨識出來。商業工具將提供追隨 CVE 協定的結果。並不是所有的軟體工具都會提供這樣的功能，而是只有少數的專屬工具(proprietary)會被 CVE 協定編入。