Tag Archive for 'kb'

Windows Server 2008 i niekompatybilność

Published by
Michał Osmenda
2008-03-08 in Windows Server 2008. Comments Tagi: ,

Do o wiele ważniejszych informacji od listy aplikacji, które są kompatybilne z Windows Server 2008, należy zaliczyć listę aplikacji, które nie są, bądź jeszcze nie są z nowym systemem kompatybilne.

Oto lista programów, które obecnie nie są, ale będą wspierane na Windows Server 2008:

  • Microsoft Application Virtualization 4.5
  • Microsoft Dynamics AX 2009
  • Microsoft Dynamics GP 10 SP2
  • Microsoft Dynamics NAV 4.0 Service Pack 3 (SP3) 
  • Microsoft Dynamics NAV 5.0 SP1 
  • Microsoft Dynamics NAV 2009 
  • Microsoft Dynamics SL 7 FP1 
  • Microsoft Forefront Client Security SP1 (This does not include Management Server Roles.) 
  • Microsoft Host Integration Server 2006 SP1 
  • Microsoft Operation Manager 2005 SP1 (This includes only Client and Agent support.) 
  • Microsoft SQL Server 2008 
  • Microsoft System Center Configuration Manager 2007 SP1 
  • Microsoft System Center Essentials 2007 SP1 
  • Microsoft System Center Operations Manager SP1 
  • Microsoft System Center Virtual Machine Manager 
  • Microsoft Virtual PC 2007 
  • Microsoft Virtual Server 2005 R2 SP1 
  • Microsoft Windows Essential Business Server 2008 
  • Microsoft Windows HPC Server 2008 
  • Microsoft Windows Server Update Services 3.0 SP1 
  • Microsoft Windows Small Business Server 2008 
  • Microsoft Windows Storage Server 2008

Lista aplikacji, które obecnie nie są wspierane na Windows Server 2008:

  • Microsoft BizTalk 2004 and earlier versions of BizTalk
  • Microsoft Commerce Server 2002 and earlier versions of Commerce Server
  • Microsoft Compute Cluster Server 2003
  • Microsoft Dynamics CRM 3.0 and earlier versions of Microsoft Dynamics CRM
  • Microsoft Exchange Server 2003
  • Microsoft Host Integration Server 2004 and earlier versions of Host Integration Server
  • Microsoft Internet Security and Acceleration Server 2006 and earlier versions of ISA Server
  • Microsoft Office Communications Server 2007
  • Microsoft Speech Server 2004 R2
  • Microsoft SQL Server 2000 and earlier versions of SQL Server
  • Microsoft System Center Reporting Manager 2006
  • Microsoft Systems Management Server 2003

Wyjaśnienie: nie wspierane znaczy niekompatybilne. Innymi słowy mogą działać, ale nie zostały na tyle przetestowane by gwarantować poprawne działanie. Na powyższych dwóch listach zaznaczyłem pozycje, które w moim mniemaniu mają niebagatalne znaczenie przy podejmowaniu decyzji o przechodzeniu na Windows Server 2008.

Planując przenosiny na Windows Server 2008 dobrze jest przeczytać informacje zawarte w tym dokumencie.

Lista przygotowana w oparciu o dokument KB948680 dostępny w bazie wiedzy.

Jak nie hotfixem to service packiem…

Published by
Michał Osmenda
2007-05-16 in Microsoft. Comments Tagi:

Przyzwyczajony jestem, zapewne nie tylko ja, do różnego rodzaju patchy, hotfixów, service packów do oprogramowania z MS: Windows, Office, SQL, Exchange i temu podobne. Zawsze w drugi wtorek miesiąca Microsoft wypuszcza dużą ilość poprawek do błędów krytycznych w swoim oprogramowaniu. W firmie nazywany to Tuesday patch day, co de facto czyni gorącym również poniedziałek, a wtorek jeszcze ciekawszym, w końcu to my te poprawki wypuszczamy w świat (czyli jesteśmy powiedzmy, na końcu łańcuszka zwanego release).
W języku Microsoft są więc poprawki (patches, czyli po polsku łaty), hotfixy (poprawki krytyczne, często robione pod zamówienie konkretnego klienta), service packi (zbiory poprawek). I tak mamy kolejne numerki w KB, MS (np. MS07-028 - poprawka do CAPICOM), SP1, SP2, SP3, itd, itp.

Taki Automattic, znany ze swojego Wordpress’a stosuje nieco inną metodę. Z racji natury swojego oprogramowania (łatwo zamienialne pliki php na serwerach www) mogą dostarczać poprawione rozwiązania w postaci kompletnych produktów, dlatego stosują numerowanie wersji jako wskazówkę dla użytkowników. Obecnie mamy już wersję 2.2, wersja 2.1.3 została wypuszczona dokładnie 43 dni temu. Każda mała poprawka zwiększa ostatni człon wersji (były 2.1.1, później uaktualniona do 2.1.2 ze względu na krytyczne poprawki), większa powoduje skok drugiego członu.

Dlatego też dość dużym zaskoczeniem było dla mnie dzisiejsze odkrycie SP1 dla … Community Server 2007! Produkt ten funkcjonalnością i wyglądem przypomina jego darmowego kolegę Wordpress’a, z tym wyjątkiem że działa na platformie ASP.Net w oparciu o bazę MS SQL. Nie dość, że przyjęli numerowanie wersji identyczne z MS, to jeszcze ich poprawki nazywają podobnie. WTF?
Zapewne nie mieli innego wyboru, nie mogli go w końcu nazwać Community Server 2007.1 ani 2008.

A propos wersji, Longhorn Server to już nie Longhorn a Windows Server 2008. Farba wypłynęła we Francji (dlaczego tam, nikt nie wie), ostatecznie potwierdził to Bill na WinHEC.

RPC DNS expolit

Published by
Michał Osmenda
2007-04-16 in Bezpieczeństwo and Windows Server 2003. Comments Tagi: , ,

11 kwietnia na stronach Microsoftu pokazała się pierwsza informacja o możliwości wykorzystania przepełnienia stosu usługi DNS na serwerach Windows Server 2000 SP4/2003 SP1 i Sp2. Od tego czasu średnio codziennie na stronach blogu MSRC ukazuje się kolejny update w tej sprawie.

Zanim jednak wszyscy powieszą psy na MS za kolejną dziurę w Windowsach chciałbym wskazać na kilka rzeczy, które wydały mi się ważne w analizie zagrożenia atakiem na usługę DNS.

Jak napisałem wyżej, zagrożenie dotyczy systemów: Windows 2000 Server SP4, Windows Server 2003 Sp1 i Windows Server 2003 SP2, nie dotyczy natomiast stacji klienckich, na których usługa serwera DNS nie działa (Windows 2000 Professional SP4, Windows XP SP2, Windows Vista). Powodujący przepełnienie buforu usługi DNS exploit [1][2][3] pozwala na wykonanie kodu w kontekście serwisu DNS, który standardowo działa jako Local System. Transmisja odbywa się po protokole RPC. Usługa DNS działająca na porcie 53 (TCP/UDP) nie jest podatna na atak.

Każdy podręcznik administratora mówi, a także każdy administrator wie, że dla serwerów DNS otwieranie jakiegokolwiek innego portu niż 53 nie jest dobre i nie jest wskazane. Tym bardziej portów dla usługi RPC. Do dobrych praktyk należy też utrzymywanie serwerów DNS w strefie DMOZ, tak by nie tylko był odgrodzony od świata zewnętrznego ale i także od środowiska wewnętrznego.

Dodatkowo w związku z potencjalnym wykorzystaniem expoloita Microsoft zaleca wyłączenie działania usługi DNS na protokole RPC. Można to zrobić poprzez edycję rejestru.

W tym wypadku, wyłączenie RPC nie spowoduje zablokowania korzystania z DNS MMC snap-in, dnscmd.exe i poprzez WMI. Drugim zalecanym rozwiązaniem jest wykorzystanie IPSEC dla portu 445 i dla tych powyżej 1024. To rozwiązanie jednak zablokuje korzystanie z zarządzania DNS poprzez MMC snap-in, dnscmd.exe i WMI.

Lektura:

Patch na zmodyfikowane kursory ANI - do pobrania!

Published by
Michał Osmenda
2007-04-03 in Bezpieczeństwo, Internet Explorer, Windows Server 2003, Windows Vista, Windows XP and x64. Comments Tagi: ,

Właśnie ukazał się patch na wspomniany przeze mnie problem. Do pobrania dla wszystkich systemów operacyjnych:

MS07-017: Vulnerability in GDI could allow remote code execution, pliki: Microsoft Security Bulletin MS07-017

Patch na zmodyfikowane kursory ANI

Published by
Michał Osmenda
2007-04-02 in Bezpieczeństwo, Internet Explorer, Windows Server 2003, Windows Vista, Windows XP and x64. Comments Tagi: ,

W środę ukażą się poprawki dla wszystkich systemów operacyjnych, które podatne są na problem zmodyfikowanych kursorów ANI, co zostało opisane w MSA935423. 31 kwietnia do listy systemów, na których Explorer.exe wpada w martwą pętlę, dołączył także Windows Server 2003 SP2.

W międzyczasie ze wszystkich stron Internetu, głównie z Chin dochodzą informacje o wykorzystywaniu problemów Windowsa w różnego rodzaju malware (najczęściej widoczne to Trojan-Downloader.Win32.Agent.bkp i Trojan-PSW.Win32.OnLineGames). Opis F-Secure, Chinese Internet Security Response Team.

Lektura: [1] [2]

**Update**

Kiedy poprawki się ukażą, proponuję by każdy na testowej maszynie je sobie przetestował. Do tego przydaje się zmodyfikowany plik ANI, który można wyprodukować za pomocą małego programiku, którego źródło można znaleźć tutaj.

Uwaga: NIE uruchamiać na maszynach produkcyjnych, jest to kod źródłowy do wyprodukowania exploit’a! 

« Previous Entries

Kalendarz

wrzesień 2008
P W Ś C P S N
« sierpnia    
1234567
891011121314
15161718192021
22232425262728
2930  

Kategorie

Disclaimer

All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft or any other company or organization. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
All rights reserved. Quotations from this blog require author's written approval.
PL: Wszelkie prawa zastrzeżone. Cytaty z tego bloga wymagają pisemnego zezwolenia autora.

Add to Technorati Favorites

RSS RSS Feed