MS03-031: Kumulativ sikkerhedsrettelse til SQL Server

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 815495 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Microsoft har udsendt en sikkerhedsrettelse for at rette sikkerhedssvaghederne i følgende produkter:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Denne liste indeholder en oversigt over de svagheder, der rettes med denne sikkerhedsrettelse:
  • Kapring af navngiven pipe
    Når SQL Server startes, oprettes der en specifik navngiven pipe, som programmet derefter lytter på for at registrere indgående forbindelser til serveren. En navngiven pipe er en specifikt navngivet envejs- eller tovejskanal til kommunikation mellem en pipe-server og en eller flere pipe-klienter. SQL Server bruger den navngivne pipe til at kontrollere, hvilke forbindelser der kan logge på systemet med SQL Server og køre forespørgsler i data, som er lagret på serveren.

    Der findes en fejl i den metode, som bruges til at kontrollere den navngivne pipe. Denne fejl kan give en angriber, der har lokaladgang til systemet med SQL Server, mulighed for at kapre (få kontrol over) den navngivne pipe, når en anden klient bruger en godkendt logonadgangskode. Herved bliver angriberen i stand til at kontrollere den navngivne pipe på det tilladelsesniveau, som er tildelt den bruger, der forsøger at oprette forbindelse. Hvis den bruger, der forsøger at oprette fjernforbindelse, har adgang til et højere niveau end angriberen, får angriberen disse rettigheder, når den navngivne pipe angribes.
  • Denial of Service for navngiven pipe
    I afsnittet "Kapring af navngiven pipe" i denne artikel beskrives en situation, hvor en ikke-godkendt bruger med lokaladgang til intranettet sender en meget stor pakke til en specifik navngiven pipe, som systemet med SQL Server lytter på, således at systemet holder op med at svare.

    Denne sikkerhedssvaghed giver ikke en eventuel angriber mulighed for at køre vilkårlig kode eller opnå et højere tilladelsesniveau. Der kan dog alligevel forekomme en Denial of Service-situation, hvor du er nødt til at genstarte serveren og gendanne funktionaliteten.
  • Bufferoverløb i SQL Server
    Der findes en fejl i en specifik Windows-funktion, som kan give en godkendt bruger med direkte adgang til at logge på det system, der kører SQL Server, mulighed for at oprette en særligt bedragerisk udformet pakke, som kan medføre bufferoverløb, når den sendes til systemets LPC-aflytningsport (Local Procedure Call). Hvis denne sikkerhedssvaghed udnyttes, kan en bruger med begrænsede systemtilladelser opnå tilladelser på SQL Server-tjenestekontoniveau eller køre vilkårlig kode.

Yderligere Information

Hvis du ønsker yderligere oplysninger om disse svagheder og om, hvordan du får fat i programrettelserne, skal du vælge den artikel i Microsoft Knowledge Base, som svarer til din version af SQL Server fra følgende liste.

SQL Server 2000 Service Pack 3 (SP3) eller Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: Sikkerhedsrettelse til SQL Server 2000 Service Pack 3

Vigtige bemærkninger

Læs disse vigtige bemærkninger om installationen af sikkerhedsrettelsen på en computer, der kører SQL Server 2000 SP3.
UDDI-tjenester (Universal Description, Discovery, and Integration)
Hvis du installerer denne sikkerhedsrettelse på en computer, der anvender Microsoft Windows Server 2003 og UDDI-tjenester, skal du alt efter forholdene udføre én eller to handlinger for at genstarte UDDI-tjenesterne. UDDI-tjenesterne fungerer ikke korrekt, før du har foretaget en genstart.
  • Hvis der ikke anvendes andre webtjenester på computeren med Windows Server 2003, kan du genstarte UDDI-tjenesterne ved at genstarte Microsofts Internet Information Services (IIS). Når du genstarter IIS, svarer det til, at du først stopper og derefter starter IIS igen, bortset fra at genstarten udføres med en enkelt kommando. IIS kan genstartes på to måder:
    • Brug den grafiske brugerflade i IIS Manager.
    • Brug kommandolinjefunktionen IISReset.
  • Hvis der anvendes andre webtjenester på computeren med Windows Server 2003, ønsker du muligvis at foretage en genstart, uden at disse tjenester påvirkes. Følg disse trin for at genstarte UDDI-tjenesterne:
    1. Start værktøjet IIS Manager.
    2. Find mappen Programgrupper, og højreklik på ikonet MSUDDIAppPool.
    3. Marker menupunktet Genbrug. På denne måde genaktiveres UDDI-tjenesterne, uden at de andre webtjenester på computeren påvirkes.
Der kommer fejlmeddelelse, når du opretter forbindelse til en Microsoft Windows NT 4.0-baseret computer ved at benytte navngivne pipes
Hvis du opretter forbindelse til en Windows NT 4.0-baseret computer, der kører Microsoft SQL Server 2000 vha. navngivne pipes, og hvis forbindelsen er oprettet af en bruger uden administratorrettigheder, modtager du muligvis en fejlmeddelelse, der ligner en af følgende meddelelser:
Meddelelse 1
Forbindelsen kunne ikke oprettes. SQL Server findes ikke
Meddelelse 2
Forbindelsen kunne ikke oprettes. Adgang nægtet.
Du kan få adgang til den programrettelse, der løser denne fejl, via følgende artikel i Microsoft Knowledge Base:
823492 "Connection could not be established" error message when you connect to a Windows NT 4.0-based computer that is running SQL Server 2000 or SQL Server 7.0. Artiklen er evt. på engelsk.

SQL Server 2000 64-bit

821280 MS03-031: Sikkerhedsrettelse til SQL Server 2000 64-bit

SQL Server 7.0 Service Pack 4 (SP4) eller Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Sikkerhedsrettelse til SQL Server 7,0 Service Pack 4

Vigtige bemærkninger

Læs disse vigtige bemærkninger om installationen af sikkerhedsrettelsen på en computer, der kører SQL Server 7.0 Service Pack 4 (SP4).
Der kommer fejlmeddelelse, når du opretter forbindelse til en Microsoft Windows NT 4.0-baseret computer ved at benytte navngivne pipes
Hvis du opretter forbindelse til en Windows NT 4.0-baseret computer, der kører Microsoft SQL Server 2000 vha. navngivne pipes, og hvis forbindelsen er oprettet af en bruger uden administratorrettigheder, modtager du muligvis en fejlmeddelelse, der ligner en af følgende meddelelser:
Meddelelse 1
Forbindelsen kunne ikke oprettes. SQL Server findes ikke
Meddelelse 2
Forbindelsen kunne ikke oprettes. Adgang nægtet.
Du kan få adgang til den programrettelse, der løser denne fejl, via følgende artikel i Microsoft Knowledge Base:
823492 "Connection could not be established" error message when you connect to a Windows NT 4.0-based computer that is running SQL Server 2000 or SQL Server 7.0. Artiklen er evt. på engelsk.

Egenskaber

Artikel-id: 815495 - Seneste redigering: 4. juli 2006 - Redigering: 2.1
Oplysningerne i denne artikel gælder:
  • Microsoft SQL Server 2000 64 bit (all editions)
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Nøgleord: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com