MS02-040:Microsoft 数据访问组件安全更新

文章翻译 文章翻译
文章编号: 326573 - 查看本文应用于的产品
本文的发布号曾为 CHS326573
注意

MS02-040 的替代

此安全发布已为 Microsoft 安全公告 MS03-033 所取代:
http://www.microsoft.com/china/security/Bulletins/MS03-033.asp
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823718 MS03-033:Microsoft 数据访问组件安全更新
注意:要查看 Microsoft 安全公告 MS03-033 的下载,请参阅本文的“下载信息”一节。
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

概要

发布此公告后,才确定该漏洞不是使用 OpenRowSet 命令解决的。OpenRowSet 命令是一个 Microsoft SQL Server 命令,而该漏洞与基本 MDAC 组件开放式数据库连接 (ODBC) 有关。所有版本的 Windows 中都存在 OBDC。另外,由于 Microsoft Windows 安装程序更新 Windows 文件保护缓存的方式存在缺陷,所以在一些系统上可能无法正确安装随本文发布的原始安全修补程序。该公告已更新,以包括此附加信息,并指示用户获得经过更新的安全修补程序。

Microsoft 数据访问组件 (MDAC) 是一个组件集合,用于在 Microsoft Windows 操作系统上提供数据库连接。MDAC 是一种常用的技术,大多数 Windows 系统上都可能有。

默认情况下,MDAC 作为一个组成部分包括在 Windows XP、Windows 2000 和 Windows Millennium Edition (Me) 中。许多其他产品和技术中也包含或安装了 MDAC。例如,Microsoft Windows NT 4.0 Option Pack 和 Microsoft SQL Server 2000 中都有 MDAC;而且,即使未安装 MDAC 本身,Microsoft Internet Explorer 中也包含某些 MDAC 组件。此外,MDAC 还作为一种独立的技术来提供。如要下载 MDAC,请访问下面的 Microsoft Web 站点:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx


MDAC 为许多数据库操作提供了基本功能,如连接到远程数据库和向客户端返回数据。具体来说,由称为开放式数据库连接 (ODBC) 的 MDAC 组件提供此功能。

出现安全漏洞的原因是 MDAC 中用于连接数据源的一个 ODBC 功能包含未经检查的缓冲区。攻击者可能通过创建 Web 页来利用该漏洞,当用户访问该 Web 页时,会使用该用户的凭据执行攻击者选择的代码。该 Web 页可以驻留在 Web 站点上,也可能通过电子邮件直接发送给用户。

如果系统正在运行 SQL Server,则攻击者可能试图通过使用 Transact-SQL OpenRowSet 命令利用此漏洞。当攻击者通过调用 OpenRowSet 提交包含专门创建的恶意参数的数据库查询时,可能使缓冲区溢出,导致运行 SQL Server 的计算机失败或运行 SQL Server 的计算机执行攻击者指定的操作。

下列因素可减轻该漏洞的影响:
  • 阅读纯文本电子邮件的用户必须执行一个操作,攻击者才能利用该漏洞。
  • 配置为在 Internet Explorer 中禁用活动脚本的系统不受此漏洞的影响。
  • 在基于 Web 进行攻击的情况下,用户必须访问由攻击者控制的恶意 Web 站点。攻击者无法强制用户访问 HTML 电子邮件向量以外的恶意 Web 站点。相反,攻击者必须引诱用户访问该 Web 站点,一般是使用户单击可将他们带到攻击者的 Web 站点的链接。
  • 通过成功攻击获得的凭据与运行 ODBC 的应用程序的那些凭据相等。大多数情况下,攻击者只能获得用户登录时所使用的相同等级凭据。
  • 默认情况下,Outlook Express 6.0 和 Outlook 2002 会在“受限站点区域”中打开 HTML 邮件。另外,如果已安装 Outlook 电子邮件安全更新,则 Outlook 98 和 2000 会在“受限站点区域”中打开 HTML 邮件。对于使用任何这些产品的客户,只要用户不单击电子邮件中的恶意链接,就不存在受到试图利用此漏洞的电子邮件攻击的危险。

更多信息

下载信息

注意:下面的链接指向新的安全修补程序 MS03-033。 从 Microsoft 下载中心可以下载以下文件:
收起这个图片展开这个图片
下载
立即下载 Microsoft 数据访问组件 (MDAC) 安全修补程序 MS03-033 程序包。 发布日期:2003 年 8 月 20 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

您必须在运行 MDAC 的下列版本之一:
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
包括 MDAC 2.8 在内的其他 MDAC 版本不受此漏洞的影响。

注意:这些更新适用于所有适用的语言。

安装选项

应用此更新后,必须重新启动计算机。此更新支持下列安装开关:
开关		 说明
-------------------------------------------------------------------------
/?               显示安装开关列表
/Q               安静模式
/T:<完整路径>	 指定临时工作文件夹
/C               与 /T 一起使用时,只将文件提取到文件夹
/C:<Cmd>         替代作者定义的安装命令
/N               无重新启动对话框
			
		  

例如,以下命令行命令会以无用户干预方式安装更新并取消重新启动:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

为 dahotfix.exe 指定的 /q 开关表示无提示安装,而 /n 开关表示取消重新启动。

警告:只有重新启动计算机后,计算机才不容易受到攻击。

重新启动要求

应用此更新后,必须重新启动计算机。

删除信息

此安全修补程序在安装之后无法删除。

安全修补程序替换信息

此安全修补程序已由 Microsoft 安全公告 MS03-033 中提供的安全修补程序取代。有关 Microsoft 安全公告 MS03-033 的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/china/security/Bulletins/MS03-033.asp
有关 Microsoft 安全公告 MS03-033 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
823718 MS03-033:Microsoft 数据访问组件安全更新

文件信息

此安全修补程序的英语版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

MDAC 2.5 Service Pack 2

日期		时间	 版本		大小		文件名
--------------------------------------------------------------------
23-Jul-2003	20:56	3.520.6100.40   212,992		Odbc32.dll
21-Jul-2003	22:24	3.70.11.40      24,848		Odbcbcp.dll
23-Jul-2003	02:29	3.520.6100.40   102,672		Odbccp32.dll
21-Jul-2003	22:24	3.70.11.40      524,560		Sqlsrv32.dll
				

MDAC 2.5 Service Pack 3

日期		时间	 版本		大小		文件名
--------------------------------------------------------------------
24-Jul-2003	00:13	3.520.6300.40   212,992		Odbc32.dll
21-Jul-2003	22:24	3.70.11.40      24,848		Odbcbcp.dll
24-Jul-2003	00:11	3.520.6300.40   102,672		Odbccp32.dll
21-Jul-2003	22:24	3.70.11.40      524,560		Sqlsrv32.dll
				

MDAC 2.6 Service Pack 2

日期		时间	 版本		大小		文件名
--------------------------------------------------------------
21-Jul-2003	17:28	2000.80.746.0   86,588		Dbnetlib.dll
22-Jul-2003	22:04	3.520.7501.40   217,360		Odbc32.dll
21-Jul-2003	17:28	2000.80.746.0   29,252		Odbcbcp.dll
22-Jul-2003	22:04	3.520.7501.40   102,672		Odbccp32.dll
31-Jul-2003	23:07	2000.80.746.0   479,800		Sqloledb.dll
21-Jul-2003	17:28	2000.80.746.0   455,236		Sqlsrv32.dll
				

MDAC 2.7 RTM

日期		时间	 版本		大小		文件名
--------------------------------------------------------------------
31-Jul-2003	17:49	2000.81.9001.40 61,440		Dbnetlib.dll
22-Jul-2003	23:04	3.520.9001.40   204,800		Odbc32.dll
22-Jul-2003	23:10	2000.81.9001.40 24,576		Odbcbcp.dll
22-Jul-2003	23:10	3.520.9001.40   94,208		Odbccp32.dll
31-Jul-2003	17:49	2000.81.9001.40 450,560		Sqloledb.dll
22-Jul-2003	23:08	2000.81.9001.40 356,352		Sqlsrv32.dll
				

MDAC 2.7 Service Pack 1

日期		时间	 版本		大小		文件名
--------------------------------------------------------------------
22-Jul-2003	18:27	2000.81.9041.40 61,440		Dbnetlib.dll
22-Jul-2003	18:22	3.520.9041.40   204,800		Odbc32.dll
22-Jul-2003	18:28	2000.81.9041.40 24,576		Odbcbcp.dll
22-Jul-2003	18:28	3.520.9041.40   98,304		Odbccp32.dll
31-Jul-2003	18:47	2000.81.9041.40 471,040		Sqloledb.dll
22-Jul-2003	18:27	2000.81.9041.40 385,024		Sqlsrv32.dll
				

验证

确保您拥有本文列出的文件的正确版本。

参考

有关 Microsoft 安全公告 MS02-040 的其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/china/security/Bulletins/MS02-040.asp

属性

文章编号: 326573 - 最后修改: 2014年2月24日 - 修订: 6.2
这篇文章中的信息适用于:
  • Microsoft Data Access Components 2.5
  • Microsoft Data Access Components 2.6
  • Microsoft Data Access Components 2.7
关键字:?
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com