MS02-040: Microsoft Data Access Componentsin (MDAC) suojauspäivitys

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 326573 - Näytä tuotteet, joita tämä artikkeli koskee.
Ilmoitus

Julkaisun MS02-040 korvaava päivitys

Julkaisun korvaa Microsoftin tietoturvatiedote MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
823718 MS03-033: Microsoft Data Access Componentsin (MDAC) suojauspäivitys
Huomautus Tietoja Microsoftin tietoturvatiedotteeseen MS03-033 liittyvistä ladattavista tiedostoista on tämän artikkelin Lataamistiedot-kohdassa.
Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Tämän tiedotteen julkaisemisen jälkeen ilmeni, että käsitelty heikkous ei liity OpenRowSet-komentoon. OpenRowSet-komento on Microsoft SQL Serverin komento. Heikkous liittyy sen sijaan pohjana olevaan MDAC-osaan nimeltä Open Database Connectivity (ODBC). OBDC sisältyy kaikkiin Windowsin versioihin. Alkuperäinen suojauskorjaus ei asentunut kaikkiin järjestelmiin oikein, koska Microsoft Windows Installer päivitti Windows-tiedostonsuojauksen välimuistin väärin. Tietoturvatiedotteeseen on päivitetty uudet tiedot ja lisätty ohjeet päivitetyn suojauskorjauksen lataamista varten.

Microsoft Data Access Components (MDAC) on kokoelma osia, joiden avulla mahdollistetaan tietokantayhteydet Microsoft Windows -käyttöjärjestelmissä. MDAC edustaa mobilititeettiperiaatteeseen (ubiquitous) perustuvaa tekniikkaa, ja se sisältyy useimpiin Windows-järjestelmiin.

Oletusarvon mukaan MDAC sisältyy Microsoft Windows XP:hen, Microsoft Windows 2000:een ja Microsoft Windows Millennium Editioniin (Me:hen). Myös monet muut tuotteet ja tekniikat sisältävät tai asentavat MDAC:n. Esimerkiksi Microsoft Windows NT 4.0 Option Pack ja Microsoft SQL Server 2000 sisältävät MDAC:n, ja jotkin MDAC:n osat sisältyvät Microsoft Internet Exploreriin, vaikka itse MDAC:ia ei ole asennettu. MDAC on saatavilla myös itsenäisenä tekniikkana. MDAC:n voi ladata seuraavasta Microsoftin Web-sivustosta:
http://msdn.microsoft.com/library/default.asp?url=/downloads/list/dataaccess.asp


MDAC mahdollistaa useiden tietokantatoimintojen edellyttämät perustoiminnot, kuten yhteyden muodostamisen etätietokantoihin ja tietojen palauttamisen asiakkaaseen. Nämä perustoiminnot mahdollistaa erityisesti MDAC:n osa nimeltä Open Database Connectivity (ODBC).

Suojausheikkous aiheutuu, koska yksi MDAC:n ODBC-toiminnoista, jonka avulla muodostetaan yhteys tietolähteeseen, sisältää tarkistamattoman puskurin. Hyökkääjä voi hyödyntää tätä heikkoutta luomalla Web-sivun, joka käyttäjän sivulla vieraillessa suorittaa hyökkääjän valitseman koodin käyttäjän käyttöoikeuksin. Web-sivu saattaa sijaita Web-sivustossa, tai se voidaan lähettää käyttäjälle suoraan sähköpostitse.

SQL Serveriä suorittavassa järjestelmässä hyökkääjä voi hyödyntää tätä heikkoutta käyttämällä Transact-SQL:n OpenRowSet-komentoa. Tietyllä tavalla väärin muotoillun OpenRowSet-kutsun parametrin sisältävän tietokantakyselyn lähettävä hyökkääjä voi aiheuttaa puskurin ylivuodon, jonka seurauksena SQL Serveriä suorittava tietokone joko lakkaa toimimasta tai suorittaa hyökkääjän määrittämiä toimia.

Riskiä pienentäviä tekijöitä ovat seuraavat:
  • Käyttäjien, jotka käyttävät tekstimuotoista sähköpostia, on tehtävä tiettyjä toimia, ennen kuin hyökkääjä voi hyödyntää heikkoutta.
  • Heikkous ei vaikuta järjestelmiin, jotka on määritetty poistamaan käytöstä aktiiviset komentosarjat Internet Explorerissa.
  • Web-pohjaisten hyökkäysten tapauksessa käyttäjän on vierailtava hyökkääjän hallinnassa olevassa Web-sivustossa. Hyökkääjä ei voi pakottaa käyttäjiä Web-sivustoonsa muulloin kuin näiden käyttäessä HTML-sähköpostia. Sen sijaan hyökkääjän on houkuteltava käyttäjät sivustoonsa esimerkiksi saamalla nämä napsauttamaan sivustoon vievää linkkiä.
  • Onnistuneen hyökkäyksen avulla saadut käyttöoikeudet vastaavat sen sovelluksen käyttöoikeuksia, jossa ODBC:tä suoritetaan. Useimmissa tapauksissa hyökkääjä saa kirjautuneen käyttäjän käyttöoikeuksia vastaavat käyttöoikeudet.
  • Oletusarvon mukaan Outlook Express 6.0 ja Outlook 2002 avaavat HTML-sähköpostiviestit rajoitetulla vyöhykkeellä. Sen lisäksi Outlook 98 ja 2000 avaavat HTML-sähköpostiviestit rajoitetulla vyöhykkeellä, jos Outlookin sähköpostisuojauskorjaus on asennettu. Näitä tuotteita käyttävät käyttäjät eivät voi joutua tätä heikkoutta hyödyntävien sähköpostitse tehtyjen hyökkäysten kohteeksi, elleivät he napsauta sähköpostiviestin sisältämää vahingoittavaa linkkiä.

Enemmän tietoa

Lataamistiedot

Huomautus Seuraavat linkit ovat uuden suojauskorjauksen MS03-033 ladattavien tiedostojen linkkejä. Voit ladata seuraavan tiedoston Microsoft Download Centeristä:
Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa Microsoft Data Access Componentsin (MDAC) suojauspäivitys MS03-033 nyt. Julkaisupäivämäärä: 20.8.2003

Lisätietoja Microsoft-tukitiedostojen lataamisesta ja asentamisesta saat napsauttamalla alla olevaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
119591 Microsoft-tukitiedostojen hankkiminen online-palveluista
Microsoft on tarkistanut tämän tiedoston virusten varalta. Microsoft käytti viimeisintä virustentarkistusohjelmistoa, joka oli saatavana tiedoston julkaisupäivänä. Tiedosto on tallennettu suojattuihin palvelimiin, joten sitä ei voi muokata luvattomasti.

Edellytykset

Käytössä on oltava jokin seuraavista MDAC:n versioista:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
Muita MDAC:n versioita, muun muassa versiota MDAC 2.8, tämä heikkous ei koske.

Huomautus Nämä päivitykset soveltuvat kaikkiin kieliversioihin.

Asennusvaihtoehdot

Sinun on käynnistettävä tietokone tämän päivityksen asentamisen jälkeen. Tämä päivitys tukee seuraavia asennusohjelman valitsimia:
Valitsin:            Kuvaus:
-------------------------------------------------------------------------
/?                Näyttää luettelon asennuksen valitsimista.
/Q                Hiljainen tila.
/T:<koko polku>    Määrittää tilapäisen työkansion.
/C                Purkaa tiedostot kansioon vain, kun käytetään yhdessä valitsimen /T kanssa.
/C:<Cmd>          Ohittaa tekijän määrittämän asennuskomennon.
/N                Ei uudelleenkäynnistysvalintaikkunaa.
				

Seuraava komentorivin komentoesimerkki asentaa päivityksen niin, että käyttäjältä ei edellytä toimia eikä järjestelmää käynnistetä uudelleen.

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Tiedostolle Dahotfix.exe määritetty /q-valitsin merkitsee hiljaista asennusta, ja /n-valitsin estää uudelleenkäynnistyksen.

Varoitus Tietokoneessasi on edelleen kyseinen heikkous, kunnes käynnistät tietokoneen uudelleen.

Uudelleenkäynnistysvaatimus

Tietokone on käynnistettävä uudelleen tämän päivityksen asentamisen jälkeen.

Poistamistiedot

Tätä suojauskorjausta ei voi poistaa sen jälkeen, kun se on asennettu.

Suojauskorjauksen korvaustiedot

Tämän suojauskorjauksen korvaa Microsoftin tietoturvatiedotteessa MS03-033 ilmoitettu suojauskorjaus. Lisätietoja Microsoftin tietoturvatiedotteesta MS03-033 on seuraavassa Microsoftin Web-sivustossa:
http://www.microsoft.com/technet/security/bulletin/MS03-033.asp
Saat lisätietoja Microsoftin tietoturvatiedotteesta MS03-033 napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
823718 MS03-033: Microsoft Data Access Componentsin (MDAC) suojauspäivitys

Tiedostojen tiedot

Tämän suojauskorjauksen englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.

MDAC 2.5 Service Pack 2

   	Päiväys   Aika       Versio      Koko     Tiedostonimi
   --------------------------------------------------------------
   23-Jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   23-Jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

   	Päiväys   Aika       Versio      Koko     Tiedostonimi
   --------------------------------------------------------------
   24-Jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll       
   21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
   24-Jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll     
   21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.6 Service Pack 2

   	Päiväys   Aika       Versio      Koko     Tiedostonimi
   --------------------------------------------------------------
   21-Jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll     
   22-Jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll       
   21-Jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll      
   22-Jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll     
   31-Jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll     
   21-Jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll     
 				

MDAC 2.7 RTM

   	Päiväys   Aika       Versio      Koko     Tiedostonimi
   --------------------------------------------------------------
   31-Jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll     
   22-Jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll       
   22-Jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll      
   22-Jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll     
   31-Jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll     
   22-Jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

   	Päiväys   Aika       Versio      Koko     Tiedostonimi
   --------------------------------------------------------------
   22-Jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll     
   22-Jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll       
   22-Jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll      
   22-Jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll     
   31-Jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll     
   22-Jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll     
				

Varmistus

Varmista, että käytössäsi ovat tässä artikkelissa mainittujen tiedostojen oikeat versiot.

Suositukset

Lisätietoja Microsoftin tietoturvatiedotteesta MS02-040 on seuraavassa Microsoftin Web-sivustossa:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-040.asp

Ominaisuudet

Artikkelin tunnus: 326573 - Viimeisin tarkistus: 24. helmikuuta 2014 - Versio: 5.1
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
Hakusanat: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com