MS03-031: Αθροιστική ενημερωμένη έκδοση κώδικα ασφαλείας για τον SQL Server

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 815495 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Η Microsoft έχει κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα ασφαλείας για να διορθώσει τα θέματα ευπάθειας στα ακόλουθα προϊόντα:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Ακολουθεί μια λίστα των θεμάτων ευπάθειας που επιδιορθώνονται σε αυτήν την ενημερωμένη έκδοση κώδικα ασφαλείας:
  • Εισβολή σε επώνυμη διοχέτευση
    Κατά την εκκίνησή του, ο SQL Server δημιουργεί και κατόπιν εκτελεί ακρόαση σε μια συγκεκριμένη επώνυμη διοχέτευση για εισερχόμενες συνδέσεις στο διακομιστή. Μια επώνυμη διοχέτευση είναι ένα κανάλι μονόδρομης ή αμφίδρομης επικοινωνίας, που έχει ονομαστεί με συγκεκριμένο τρόπο για την επικοινωνία μεταξύ ενός διακομιστή διοχέτευσης και ενός ή περισσότερων υπολογιστών-πελατών διοχέτευσης. Ο SQL Server ελέγχει την επώνυμη διοχέτευση, για να επαληθεύσει από ποιες συνδέσεις μπορεί να γίνει σύνδεση στο σύστημα που εκτελεί τον SQL Server, για να υποβληθούν ερωτήματα με βάση δεδομένα που έχουν αποθηκευτεί στο διακομιστή.

    Υπάρχει ένα ελάττωμα στη μέθοδο ελέγχου της επώνυμης διοχέτευσης, το οποίο θα μπορούσε να επιτρέψει σε έναν τοπικό εισβολέα του συστήματος που εκτελεί τον SQL Server να εισβάλει (να αποκτήσει τον έλεγχο) στην επώνυμη διοχέτευση, όταν ένας άλλος υπολογιστής-πελάτης χρησιμοποιήσει έναν κωδικό πρόσβασης για σύνδεση με έλεγχο ταυτότητας, για να συνδεθεί. Αυτό το ελάττωμα θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει τον έλεγχο της επώνυμης διοχέτευσης, με το ίδιο επίπεδο δικαιωμάτων με το χρήστη που προσπαθεί να συνδεθεί. Εάν ο χρήστης που προσπαθεί να συνδεθεί με απομακρυσμένο τρόπο διαθέτει υψηλότερο επίπεδο δικαιωμάτων σε σχέση με το επίπεδο δικαιωμάτων του εισβολέα, ο εισβολέας θα αποκτήσει αυτά τα δικαιώματα, όταν παραβιαστεί η ασφάλεια της επώνυμης διοχέτευσης.
  • Άρνηση εξυπηρέτησης στην επώνυμη διοχέτευση
    Στο ίδιο σενάριο επώνυμων διοχετεύσεων που αναφέρεται στην ενότητα "Εισβολή σε επώνυμη διοχέτευση" αυτού του άρθρου, ένας χρήστης που η ταυτότητά του δεν έχει ελεγχθεί και ο οποίος συνδέεται τοπικά στο intranet ίσως έχει τη δυνατότητα αποστολής ενός πολύ μεγάλου πακέτου σε μια συγκεκριμένη επώνυμη διοχέτευση, στην οποία εκτελεί ακρόαση το σύστημα που εκτελεί τον SQL Server, και μπορεί να προκαλέσει διακοπή της ανταπόκρισης της διοχέτευσης.

    Αυτή η ευπάθεια δεν επιτρέπει την εκτέλεση αυθαίρετου κώδικα από έναν εισβολέα ή την αύξηση των δικαιωμάτων του. Ωστόσο, μπορεί να προκαλέσει μια συνθήκη άρνησης εξυπηρέτησης, η οποία απαιτεί επανεκκίνηση του διακομιστή για την επαναφορά της λειτουργικότητας.
  • Υπέρβαση buffer στον SQL Server
    Υπάρχει ένα ελάττωμα σε μια συγκεκριμένη λειτουργία των Windows, η οποία μπορεί να επιτρέψει σε ένα χρήστη που έχει υποβληθεί σε έλεγχο ταυτότητας, ο οποίος έχει άμεση πρόσβαση για σύνδεση στο σύστημα στο οποίο εκτελείται ο SQL Server, τη δυνατότητα δημιουργίας ενός ειδικά κατασκευασμένου πακέτου, το οποίο, όταν σταλεί στη θύρα ακρόασης κλήσης τοπικής διαδικασίας (LPC) του συστήματος, μπορεί να προκαλέσει υπέρβαση του buffer. Εάν αξιοποιηθεί με επιτυχία, αυτή η ευπάθεια θα μπορούσε να επιτρέψει σε ένα χρήστη, ο οποίος διαθέτει περιορισμένα δικαιώματα στο σύστημα, να αυξήσει τα δικαιώματά του στο επίπεδο του λογαριασμού της υπηρεσίας του SQL Server ή να προκαλέσει εκτέλεση αυθαίρετου κώδικα.

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες σχετικά με αυτά τα θέματα ευπάθειας καθώς και τον τρόπο απόκτησης των ενημερωμένων εκδόσεων κώδικα, επιλέξτε το άρθρο της γνωσιακής βάσης της Microsoft (Knowledge Base) που αντιστοιχεί στην έκδοση του SQL Server που χρησιμοποιείτε, από την ακόλουθη λίστα:

SQL Server 2000 Service Pack 3 (SP3) ή Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: Eνημερωμένη έκδοση κώδικα ασφαλείας για το SQL Server 2000 Service Pack 3

Σημαντικές παρατηρήσεις

Διαβάστε αυτές τις σημαντικές παρατηρήσεις σχετικά με την εγκατάσταση αυτής της ενημερωμένης έκδοσης κώδικα ασφαλείας σε υπολογιστή στον οποίο εκτελείται το SQL Server 2000 SP3.
Υπηρεσίες UDDI (Universal Description, Discovery, and Integration)
Εάν εγκαταστήσετε αυτήν την ενημερωμένη έκδοση κώδικα ασφαλείας σε υπολογιστή στον οποίο εκτελείται ο Microsoft Windows Server 2003 και στον οποίο είναι εγκατεστημένες οι υπηρεσίες UDDI, θα πρέπει να προβείτε σε μία από δύο ενέργειες, για να επανεκκινήσετε τις υπηρεσίες UDDI, ανάλογα με τις περιστάσεις. Μέχρι να προβείτε σε αυτές τις ενέργειες, οι υπηρεσίες UDDI δεν θα επανέλθουν στην κανονική λειτουργία τους.
  • Εάν δεν χρησιμοποιείται καμία άλλη υπηρεσία Web σε υπολογιστή που εκτελεί τον Windows Server 2003, μπορείτε να επανεκκινήσετε τις υπηρεσίες UDDI με επανεκκίνηση των υπηρεσιών Microsoft Internet Information Services (IIS). Η επανεκκίνηση των υπηρεσιών IIS είναι η ίδια διαδικασία με τη διακοπή των υπηρεσιών IIS σε πρώτη φάση και την εκ νέου εκκίνησή τους σε δεύτερη φάση, αλλά πραγματοποιείται με μία εντολή. Υπάρχουν δύο τρόποι επανεκκίνησης των υπηρεσιών IIS:
    • Χρησιμοποιήστε το περιβάλλον εργασίας με γραφικά του βοηθητικού προγράμματος διαχείρισης των υπηρεσιών IIS.
    • Χρησιμοποιήστε το βοηθητικό πρόγραμμα IISReset της γραμμής εντολών.
  • Εάν χρησιμοποιούνται άλλες υπηρεσίες Web στον υπολογιστή που εκτελεί τον Windows Server 2003, δεν θα πρέπει να επηρεάσετε τη λειτουργία τους. Για να επανεκκινήσετε τις υπηρεσίες UDDI, ακολουθήστε τα εξής βήματα:
    1. Ξεκινήστε το βοηθητικό πρόγραμμα διαχείρισης των υπηρεσιών IIS.
    2. Εντοπίστε το φάκελο Application Pools και, στη συνέχεια, κάντε δεξιό κλικ στο εικονίδιο MSUDDIAppPool.
    3. Κάντε κλικ για να επιλέξετε την επιλογή μενού Recycle. Με αυτήν την ενέργεια θα επιτραπεί η επαναφορά της λειτουργίας των υπηρεσιών UDDI, χωρίς να επηρεαστεί οποιαδήποτε άλλη υπηρεσία Web στον υπολογιστή.
Παρουσιάζεται ένα μήνυμα λάθους, όταν συνδέεστε σε έναν υπολογιστή που βασίζεται σε Microsoft Windows NT 4.0 χρησιμοποιώντας επώνυμες διοχετεύσεις
Όταν συνδέεστε σε έναν υπολογιστή που βασίζεται σε Windows NT 4.0 και ο οποίος εκτελεί τον Microsoft SQL Server 2000 χρησιμοποιώντας επώνυμες διοχετεύσεις και η συγκεκριμένη σύνδεση γίνεται από χρήστη που δεν είναι διαχειριστής, μπορεί να λάβετε ένα μήνυμα λάθους παρόμοιο με ένα από τα εξής:
Μήνυμα 1
Connection could not be established. SQL Server does not exist.
Μήνυμα 2
Connection could not be established. Access is denied.
Για να αποκτήσετε μια επείγουσα επιδιόρθωση για την επίλυση αυτού του μηνύματος λάθους, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
823492 Κατά τη σύνδεση σε έναν υπολογιστή που βασίζεται στα Windows NT 4.0 και εκτελεί τον SQL Server 2000 ή τον SQL Server 7.0, εμφανίζεται το μήνυμα λάθους "Connection Could Not Be Established"

SQL Server 2000 64-bit

821280 MS03-031: Ενημερωμένη έκδοση κώδικα ασφαλείας για τον SQL Server 2000 64 bit

SQL Server 7.0 Service Pack 4 (SP4) ή Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Eνημερωμένη έκδοση κώδικα ασφαλείας για το SQL Server 7.0 Service Pack 4

Σημαντικές παρατηρήσεις

Διαβάστε αυτές τις σημαντικές παρατηρήσεις σχετικά με την εγκατάσταση αυτής της ενημερωμένης έκδοσης κώδικα ασφαλείας σε υπολογιστή στον οποίο εκτελείται το SQL Server 7.0 Service Pack 4 (SP4).
Παρουσιάζεται ένα μήνυμα λάθους, όταν συνδέεστε σε έναν υπολογιστή που βασίζεται σε Microsoft Windows NT 4.0 χρησιμοποιώντας επώνυμες διοχετεύσεις
Όταν συνδέεστε σε έναν υπολογιστή που βασίζεται σε Windows NT 4.0 και ο οποίος εκτελεί τον Microsoft SQL Server 2000 χρησιμοποιώντας επώνυμες διοχετεύσεις και η συγκεκριμένη σύνδεση γίνεται από χρήστη που δεν είναι διαχειριστής, μπορεί να λάβετε ένα μήνυμα λάθους παρόμοιο με ένα από τα εξής:
Μήνυμα 1
Connection could not be established. SQL Server does not exist.
Μήνυμα 2
Connection could not be established. Access is denied.
Για να αποκτήσετε μια επείγουσα επιδιόρθωση για την επίλυση αυτού του μηνύματος λάθους, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
823492 Κατά τη σύνδεση σε έναν υπολογιστή που βασίζεται στα Windows NT 4.0 και εκτελεί τον SQL Server 2000 ή τον SQL Server 7.0, εμφανίζεται το μήνυμα λάθους "Connection Could Not Be Established"

Ιδιότητες

Αναγν. άρθρου: 815495 - Τελευταία αναθεώρηση: Πέμπτη, 6 Ιουλίου 2006 - Αναθεώρηση: 2.2
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Λέξεις-κλειδιά: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com