MS03-031: Kumulativer Sicherheitspatch für SQL Server

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 815495 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
815495 MS03-031: Cumulative security patch for SQL Server
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Microsoft hat einen Sicherheitspatch freigegeben, um Sicherheitsanfälligkeiten in den folgenden Produkten zu beseitigen:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Informationen zu den Sicherheitsanfälligkeiten, die durch diesen Sicherheitspatch behoben werden, entnehmen Sie der folgenden Liste:
  • Named Pipe-Besetzung
    Wenn SQL Server gestartet wird, erstellt das Programm eine spezifische Named Pipe und überwacht diese dann auf eingehende Verbindungen zu dem Server. Eine Named Pipe ist ein spezifisch benannter Einweg- oder Zweiwegkanal für die Kommunikation zwischen einem Named Pipe-Server und einem oder mehreren Named Pipe-Clients. SQL Server überprüft die Named Pipe, um festzustellen, welche Verbindungen sich bei dem System anmelden können, auf dem SQL Server ausgeführt wird, um dort Abfragen in Bezug auf Daten auszuführen, die auf dem Server gespeichert sind.

    Die Methode zur Prüfung der Named Pipe weist einen Fehler auf, durch den ein Angreifer, der ein lokaler Benutzer des Systems ist, auf dem SQL Server ausgeführt wird, die Möglichkeit haben könnte, die Kontrolle über die Named Pipe zu übernehmen, wenn sich ein anderer Client mit einem authentifizierten Anmeldekennwort anmeldet. Auf diesem Wege könnte der Angreifer die Kontrolle über die Named Pipe mit den Berechtigungen übernehmen, über die der Benutzer verfügt, der die Verbindung herzustellen versucht. Verfügt der Benutzer, der die Remoteverbindung herzustellen versucht, über umfangreichere Berechtigungen als der potenzielle Angreifer, kann der Angreifer die Named Pipe mit diesen höheren Berechtigungen kontrollieren.
  • Denial of Service-Angriff auf die Named Pipe
    In dem gleichen Szenario, das im vorstehenden Abschnitt "Named Pipe-Besetzung" geschildert wird, könnte ein nicht authentifizierter Benutzer, bei dem es sich um einen lokalen Benutzer des betreffenden Intranets handelt, ein sehr umfangreiches Datenpaket an eine bestimmte Named Pipe senden, die durch das SQL Server-System abgehört wird, und diese dadurch so blockieren, dass sie nicht mehr reagiert.

    Bei dieser Anfälligkeit hat der Angreifer nicht die Möglichkeit, einen Code seiner Wahl ausführen zu lassen oder sich höhere Berechtigungen zu erschleichen; ein Dienstverweigerungsangriff (Denial of Service) wäre jedoch möglich, der es erforderlich machen würde, den Server neu zu starten, um dessen Funktionalität wiederherzustellen.
  • SQL Server-Pufferüberlauf
    Es existiert ein Fehler in einer speziellen Windows-Funktion. Hierbei kann ein authentifizierter Benutzer, der sich direkt an dem System anmelden kann, auf dem SQL Server ausgeführt wird, ein manipuliertes Paket an den LPC-Port des Systems senden (LPC =Local Procedure Call, Lokaler Prozeduraufruf). Dieses Paket kann zu einem Pufferüberlauf führen. Durch eine erfolgreiche Ausnutzung dieser Sicherheitslücke kann sich ein Benutzer mit eingeschränkten Berechtigungen die Berechtigungen erschleichen, die für das SQL Server-Dienstkonto gelten, oder er könnte einen in böswilliger Absicht verfassten Code seiner Wahl ausführen lassen.

Weitere Informationen

Weitere Informationen zu diesen Sicherheitsanfälligkeiten sowie zum Beziehen der entsprechenden Patches finden Sie in dem folgenden Artikel der Microsoft Knowledge Base, der sich auf Ihre Version von SQL Server bezieht:

SQL Server 2000, Service Pack 3 (SP3) oder Microsoft SQL Server 2000 Desktop Engine (MSDE), Service Pack 3 (SP3)

821277 MS03-031: Sicherheitspatch für SQL Server 2000 Service Pack 3

Wichtige Hinweise

Lesen Sie die folgenden wichtigen Hinweise zur Sicherheitspatch-Installation auf einem Computer, auf dem SQL Server 2000 SP3 ausgeführt wird:
UDDI-Dienste
Wenn Sie diesen Sicherheitspatch auf einem Computer installieren, auf dem Microsoft Windows Server 2003 ausgeführt wird und auf dem die UDDI-Dienste (UDDI = Universal Description, Discovery, and Integration) installiert sind, müssen Sie in Abhängigkeit von den jeweiligen Umständen eine von zwei Aktionen ausführen, um die UDDI-Dienste neu zu starten. Die normale Funktion der UDDI-Dienste wird erst durch einen Neustart wiederhergestellt.
  • Falls auf dem Computer, auf dem Windows Server 2003 ausgeführt wird, kein anderer Webdienst verwendet wird, können Sie die UDDI-Dienste neu starten, indem Sie Microsoft Internet Information Services (IIS) neu starten. Ein Neustart von IIS ist das Gleiche wie ein Anhalten und ein anschließender Neustart von IIS, es ist dazu jedoch nur ein einziger Befehl erforderlich. Es gibt zwei Möglichkeiten, IIS neu zu starten:
    • Verwenden Sie die grafische Benutzeroberfläche des IIS-Managers.
    • Verwenden Sie das Befehlszeilenprogramm "IISReset".
  • Falls auf dem Computer, auf dem Windows Server 2003 ausgeführt wird, auch andere Webdienste zum Einsatz kommen, möchten Sie negative Auswirkungen auf diese Dienste wahrscheinlich vermeiden. Gehen Sie folgendermaßen vor, um die UDDI-Dienste neu zu starten:
    1. Starten Sie den IIS-Manager.
    2. Wechseln Sie in den Ordner Anwendungspools, und klicken Sie anschließend mit der rechten Maustaste auf das Symbol MSUDDIAppPool.
    3. Klicken Sie auf die Menüoption Wieder verwenden. So können die UDDI-Dienste wieder aktiviert werden, ohne dass dies Auswirkungen auf andere Webdienste auf dem Computer hat.
Es wird eine Fehlermeldung angezeigt, wenn Sie unter Verwendung von Named Pipes eine Verbindung zu einem Microsoft Windows NT 4.0-Computer herstellen
Wenn ein Benutzer, der kein Administrator ist, unter Verwendung von Named Pipes eine Verbindung zu einem Windows NT 4.0-Computer herstellt, auf dem Microsoft SQL Server 2000 ausgeführt wird, wird möglicherweise eine Fehlermeldung wie die folgende angezeigt:
Fehlermeldung 1
Die Verbindung konnte nicht hergestellt werden. SQL Server ist nicht vorhanden.
Fehlermeldung 2
Die Verbindung konnte nicht hergestellt werden. Zugriff wurde verweigert.
Informationen zu einem Hotfix zur Problembehandlung bei dieser Fehlermeldung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
823492 Fehlermeldung "Die Verbindung konnte nicht hergestellt werden" beim Aufbau einer Verbindung zu einem Windows NT 4.0-Computer, auf dem SQL Server 2000 oder SQL Server 7.0 ausgeführt wird

SQL Server 2000, 64 Bit

821280 MS03-031: Sicherheitspatch für SQL Server 2000 64-Bit

SQL Server 7.0, Service Pack 4 (SP4) oder Microsoft Data Engine 1.0, Service Pack 4 (SP4)

821279 MS03-031: Sicherheitspatch für SQL Server 7.0 Service Pack 4

Wichtige Hinweise

Lesen Sie die folgenden wichtigen Hinweise zur Sicherheitspatch-Installation auf einem Computer, auf dem SQL Server 7.0, Service Pack 4 (SP4) ausgeführt wird:
Es wird eine Fehlermeldung angezeigt, wenn Sie unter Verwendung von Named Pipes eine Verbindung zu einem Microsoft Windows NT 4.0-Computer herstellen
Wenn ein Benutzer, der kein Administrator ist, unter Verwendung von Named Pipes eine Verbindung zu einem Windows NT 4.0-Computer herstellt, auf dem Microsoft SQL Server 2000 ausgeführt wird, wird möglicherweise eine Fehlermeldung wie die folgende angezeigt:
Fehlermeldung 1
Die Verbindung konnte nicht hergestellt werden. SQL Server ist nicht vorhanden.
Fehlermeldung 2
Die Verbindung konnte nicht hergestellt werden. Zugriff wurde verweigert.
Informationen zu einem Hotfix zur Problembehandlung bei dieser Fehlermeldung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
823492 Fehlermeldung "Die Verbindung konnte nicht hergestellt werden" beim Aufbau einer Verbindung zu einem Windows NT 4.0-Computer, auf dem SQL Server 2000 oder SQL Server 7.0 ausgeführt wird

Eigenschaften

Artikel-ID: 815495 - Geändert am: Montag, 10. Juli 2006 - Version: 2.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 64-Bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Keywords: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com