[MS02-040] Microsoft Data Access Components のセキュリティ アップデート

文書翻訳 文書翻訳
文書番号: 326573 - 対象製品
この記事は、以前は次の ID で公開されていました: JP326573
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。

MS02-040 の更新

この問題に対する修正プログラムは、以下のマイクロソフト セキュリティ情報 MS03-033 の修正プログラムに含まれました。
http://www.microsoft.com/japan/technet/security/bulletin/ms03-033.mspx
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
823718 MS03-033: Security Update for Microsoft Data Access Components
823718 [MS03-033] Microsoft Data Access Components のセキュリティ アップデート
: マイクロソフト セキュリティ情報 MS03-033 の修正プログラムに関するダウンロード情報については、この資料の「ダウンロード情報」を参照してください。
すべて展開する | すべて折りたたむ

目次

概要

このセキュリティ情報のリリース後、実際の脆弱性は、SQL Server の OpenRowSet コマンドに存在するのではなく、その基礎となる MDAC コンポーネントの ODBC (Open Database Connectivity) に存在することが確認されました。OBDC は Winodws の全バージョンに含まれます。また、Microsoft Windows インストーラが Windows ファイル保護のキャッシュを更新する方法に存在する問題により、この資料と共にリリースされた元のセキュリティ修正プログラムが、一部のシステムで正しくインストールされないことがありました。この追加情報および更新されたセキュリティ修正プログラムについてユーザーに周知するため、このセキュリティ情報を更新しました。

Microsoft Data Access Components (MDAC) は、Microsoft Windows オペレーティング システムでデータベース接続を提供するために使用されるコンポーネントの集まりです。MDAC は広く存在する技術であり、ほとんどの Windows システムに存在します。

MDAC は Microsoft Windows XP、Microsoft Windows 2000 および Microsoft Windows Millennium Edition (Me) の一部としてデフォルトでインストールされます。また、その他の製品や技術の中にも、MDAC を含むものやインストールするものが多くあります。たとえば、Microsoft Windows NT 4.0 Option Pack および Microsoft SQL Server 2000 の両方には MDAC が含まれます。また、Microsoft Internet Explorer には、MDAC 自体はインストールされていなくても、その一部としていくつかの MDAC コンポーネントが含まれています。MDAC はスタンドアロン技術としてダウンロードすることもできます。MDAC をダウンロードするには、次のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/japan/msdn/data/download.asp


MDAC は、リモートのデータベースへの接続やクライアントへのデータの返信など、多くのデータベース操作の基礎となる機能を提供します。具体的にこの機能を提供するのは、ODBC と呼ばれる MDAC のコンポーネントです。

データ ソースへの接続に使用される、MDAC の ODBC 機能の 1 つに未チェックのバッファが存在するため、セキュリティ上の脆弱性が発生します。攻撃者は、ユーザーがアクセスするとユーザーの資格情報で任意のコードを実行できる Web ページを作成することによって、この脆弱性を悪用する可能性があります。このような Web ページは Web サイトでホストされるか、電子メールで直接ユーザーに送信される可能性があります。

SQL Server を実行しているシステムの場合、攻撃者は Transact-SQL の OpenRowSet コマンドを使用してこの脆弱性を悪用する可能性があります。攻撃者は、OpenRowSet への呼び出し内に特殊な悪質なパラメータを含むデータベース クエリを送信してバッファ オーバーランを発生させ、SQL Server を実行するコンピュータを異常終了させたり、SQL Server を実行するコンピュータで攻撃者の指示する操作を実行させたりする可能性があります。

以下は、この問題を緩和する要素です。
  • 電子メールをテキスト形式で読み取るユーザーに対して攻撃者がこの脆弱性を悪用するには、ユーザーに事前にある操作を実行させる必要があります。
  • Internet Explorer でアクティブ スクリプトを無効にするように構成しているシステムは、この脆弱性の影響を受けません。
  • Web を使用した攻撃では、攻撃者の制御下に置かれた悪質な Web サイトにユーザーがアクセスすることが、攻撃者にとっての必要条件となります。攻撃者は、HTML 電子メール以外の方法を使用して、ユーザーを悪質な Web サイトに強制的にアクセスさせることはできません。ユーザーをその悪質な Web サイトに誘導することが、攻撃者にとっての必要条件となります。通常、このような誘導は、攻撃者の Web サイトに接続するリンクをユーザーにクリックさせることによって行われます。
  • 攻撃が成功した際に攻撃者が取得する資格情報は、ODBC を実行するアプリケーションの資格情報と同等です。ほとんどの場合、攻撃者が取得するのは、ユーザーがログオンに使用した資格情報と同じレベルの資格情報のみです。
  • Outlook Express 6.0 および Outlook 2002 では、HTML メールはデフォルトで制限付きサイト ゾーンで開かれます。また、Outlook 98 および 2000 では、Outlook 電子メール セキュリティ アップデートがインストールされている場合、HTML メールは制限付きサイト ゾーンで開かれます。これらの製品を使用しているユーザーは、電子メール内の悪質なリンクをクリックしない限り、この脆弱性を悪用する、電子メール経由の攻撃を受ける危険性はありません。

詳細

ダウンロード情報

下記のファイル (英語版) は、「Microsoft ダウンロード センター」からダウンロードできます。日本語環境に適用することができます。 この修正プログラムをインストールする前に、必ず次のサポート技術情報を参照してください。
436469 [MDAC] PRB: MS02-040 で提供される修正プログラムをインストールする際の注意点
元に戻す画像を拡大する
ダウンロード
Microsoft Data Access Components (MDAC) セキュリティ修正プログラム MS03-033 パッケージ
: 上記のリンク先から、新しいセキュリティ修正プログラム MS03-033 をダウンロードすることができます。

リリース日 : 2003 年 8 月 20 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 How to Obtain Microsoft Support Files from Online Services
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

以下のいずれかのバージョンの MDAC を実行している必要があります。
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
MDAC 2.8 を含め、他のバージョンの MDAC はこの脆弱性による影響を受けません。

: この修正プログラムはすべての言語に適用できます。

インストール オプション

この修正プログラムの適用後にコンピュータを再起動する必要があります。この修正プログラムでは、以下のセットアップ スイッチがサポートされています。
スイッチ              説明
-------------------------------------------------------------------------
/?                インストール スイッチの一覧を表示します。
/Q                Quiet モードで実行します。
/T:<完全なパス>    一時作業フォルダを指定します。
/C                /T と併用したときに、指定したフォルダへのファイルの展開のみを行います。
/C:<コマンド>      作成者が定義したインストール コマンドよりも優先して実行されます。
/N                再起動のダイアログ ボックスを表示しません。				

たとえば、次のコマンド ライン コマンドを使用すると、修正プログラムのインストールの際にユーザー入力の必要がなく、コンピュータが再起動されることはありません。

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

dahotfix.exe で指定されている /q はサイレント インストール用のスイッチ、/n は再起動を抑止するためのスイッチです。

警告 : 再起動するまで、コンピュータの脆弱性は解決されません。

再起動の必要性

この修正プログラムの適用後に、コンピュータを再起動する必要があります。

アンインストール情報

このセキュリティ修正プログラムは、インストール後に削除することはできません。

以前のセキュリティ修正プログラムの状態

以前のこの資料に含まれていたセキュリティ修正プログラムは、マイクロソフト セキュリティ情報 MS03-033 で提供されているセキュリティ修正プログラムに置き換えられました。マイクロソフト セキュリティ情報 MS03-033 の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/ms03-033.mspx
マイクロソフト セキュリティ情報 MS03-033 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
823718 MS03-033: Security Update for Microsoft Data Access Components
823718 [MS03-033] Microsoft Data Access Components のセキュリティ アップデート

ファイル情報

セキュリティ修正プログラム (英語版。日本語環境対応。) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。

MDAC 2.5 Service Pack 2

   日付            時刻    バージョン           サイズ     ファイル名
   --------------------------------------------------------------
   2003/07/23  13:56  3.520.6100.40  212,992  Odbc32.Dll
   2003/07/21  15:24  3.70.11.40      24,848  Odbcbcp.Dll
   2003/07/22  19:29  3.520.6100.40  102,672  Odbccp32.Dll
   2003/07/21   0:00  3.70.11.40     524,560  Sqlsrv32.Dll
				

MDAC 2.5 Service Pack 3

   日付            時刻    バージョン           サイズ     ファイル名
   --------------------------------------------------------------
   2003/07/23  17:13  3.520.6300.40  212,992  Odbc32.Dll
   2003/07/21  15:24  3.70.11.40      24,848  Odbcbcp.Dll
   2003/07/23  17:11  3.520.6300.40  102,672  Odbccp32.Dll
   2003/07/21   0:00  3.70.11.40     524,560  Sqlsrv32.Dll
				

MDAC 2.6 Service Pack 2

   日付            時刻    バージョン            サイズ    ファイル名
   --------------------------------------------------------------
   2003/07/21  10:28  2000.80.746.0   86,588  Dbnetlib.Dll
   2003/07/22  15:04  3.520.7501.40  217,360  Odbc32.Dll
   2003/07/21  10:28  2000.80.746.0   29,252  Odbcbcp.Dll
   2003/07/22   0:00  3.520.7501.40  102,672  Odbccp32.Dll
   2003/07/31   0:00  2000.80.746.0  479,800  Sqloledb.Dll
   2003/07/21   0:00  2000.80.746.0  455,236  Sqlsrv32.Dll
 				

MDAC 2.7 RTM

   日付            時刻    バージョン            サイズ    ファイル名
   --------------------------------------------------------------
   2003/07/31  10:49  2000.81.9001.0040   61,440  Dbnetlib.Dll
   2003/07/22  16:04  3.520.9001.0040    204,800  Odbc32.Dll
   2003/07/22  16:10  2000.81.9001.0040   24,576  Odbcbcp.Dll
   2003/07/22   0:00  3.520.9001.0040     94,208  Odbccp32.Dll
   2003/07/31   0:00  2000.81.9001.0040  450,560  Sqloledb.Dll
   2003/07/22   0:00  2000.81.9001.0040  356,352  Sqlsrv32.Dll
				

MDAC 2.7 Service Pack 1

   日付            時刻    バージョン            サイズ    ファイル名
   --------------------------------------------------------------
   2003/07/22  11:27  2000.81.9041.40   61,440  Dbnetlib.Dll
   2003/07/22  11:22  3.520.9041.40     204,800  Odbc32.Dll
   2003/07/22  11:28  2000.81.9041.40   24,576  Odbcbcp.Dll
   2003/07/22   0:00  3.520.9041.40       98,304  Odbccp32.Dll
   2003/07/31   0:00  2000.81.9041.40  471,040  Sqloledb.Dll
   2003/07/22   0:00  2000.81.9041.40  385,024  Sqlsrv32.Dll
				

検証

この資料に記載された正しいバージョンのファイルがインストールされていることを確認します。

関連情報

マイクロソフト セキュリティ情報 MS02-040 の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/ms02-040.mspx

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 326573 (最終更新日 2003-08-22) を基に作成したものです。

プロパティ

文書番号: 326573 - 最終更新日: 2014年2月24日 - リビジョン: 5.3
この資料は以下の製品について記述したものです。
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
キーワード:?
kbnosurvey kbarchive kbbug kbfix kbqfe kbsecbulletin kbsechack kbsecurity kbsecvulnerability KB326573
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com