MS03-031: Revisión de seguridad acumulativa para SQL Server

Seleccione idioma Seleccione idioma
Id. de artículo: 815495 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Microsoft ha publicado una revisión de seguridad para corregir vulnerabilidades de los productos siguientes:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64 bits
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Esta es una lista de las vulnerabilidades que se resuelven con esta revisión de seguridad:
  • Apropiación de canalizaciones con nombre
    Cuando SQL Server se inicia, crea una canalización con nombre específica y después escucha en ella las conexiones entrantes en el servidor. Una canalización con nombre es un canal unidireccional o bidireccional con nombre específico para la comunicación entre un servidor de canalizaciones y uno o varios clientes de canalizaciones. SQL Server comprueba la canalización con nombre para comprobar qué conexiones pueden iniciar sesión en el sistema que está ejecutando SQL Server para ejecutar consultas contra los datos que se almacenan en el servidor.

    En el método de comprobación de la canalización con nombre hay una deficiencia que podría permitir a un atacante que está en el sistema que ejecuta SQL Server apropiarse de la canalización con nombre cuando otro cliente usa una contraseña de inicio de sesión autenticada para iniciar sesión. Eso permitiría al atacante obtener el control de la canalización con nombre en el mismo nivel de permisos que el usuario que trata de conectar. Si el usuario que intenta conectar remotamente tiene un nivel de permisos superior al que tiene el atacante, éste asumirá esos derechos cuando se comprometa la seguridad de la canalización con nombre.
  • Denegación de servicio de canalización con nombre
    En la misma situación de las canalizaciones con nombre que se mencionaba en la sección "Apropiación de canalizaciones con nombre" de este artículo, un usuario no autenticado que esté en la intranet podría enviar un paquete muy grande a una canalización con nombre específica donde está escuchando el sistema que ejecuta SQL Server, para que no responda.

    Esta vulnerabilidad no permite que un atacante ejecute código arbitrario ni eleve sus permisos; sin embargo, podría seguir existiendo una condición de denegación de servicio que requiere que reinicie el servidor para restaurar la funcionalidad.
  • Desbordamiento de búfer de SQL Server
    Existe una deficiencia en una función específica de Windows que puede permitir que un usuario autenticado con acceso directo para iniciar sesión en el sistema que ejecuta SQL Server tenga la capacidad de crear un paquete especialmente elaborado que, al enviarse al puerto de llamada a procedimiento local (LPC) que escucha del sistema, puede causar un desbordamiento de búfer. Si se explota esta vulnerabilidad, puede permitir a un usuario con permisos limitados en el sistema elevar sus permisos al nivel de cuenta de servicio de SQL Server, o causar la ejecución de código arbitrario.

Más información

Para obtener más información acerca de estas vulnerabilidades y de la manera de obtener las revisiones, seleccione en la lista siguiente el artículo de Microsoft Knowledge Base que corresponde a su versión de SQL Server:

SQL Server 2000 Service Pack 3 (SP3) o Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: Revisión de seguridad para el Service Pack 3 de SQL Server 2000

Notas importantes

Lea estas importantes notas acerca de la instalación de esta revisión de seguridad en un equipo que esté ejecutando SQL Server 2000 SP3.
Servicios UDDI (Descripción, descubrimiento e integración universales)
Si instala esta revisión de seguridad en un equipo que está ejecutando Microsoft Windows Server 2003 y tiene instalados los Servicios UDDI, deberá realizar una de dos acciones para reiniciar los Servicios UDDI, dependiendo de las circunstancias. Los Servicios UDDI no reanudarán el funcionamiento normal hasta que lo haga.
  • Si no está en uso ningún otro servicio Web en el equipo que ejecuta Windows Server 2003, puede reiniciar los Servicios UDDI reiniciando Microsoft Internet Information Services (IIS). Reiniciar IIS es lo mismo que detener primero IIS y después iniciarlo, salvo que se haya hecho con un comando. Hay dos maneras de reiniciar IIS:
    • Usar la interfaz de usuario gráfico de Administrador de IIS.
    • Usar la utilidad de línea de comandos IISReset.
  • Si hay otros servicios Web en uso en el equipo que está ejecutando Windows Server 2003, quizá no quiera afectar a su funcionamiento. Para reiniciar los Servicios UDDI, siga estos pasos:
    1. Inicie la utilidad Administrador de IIS.
    2. Buscar la carpeta Application Pools y, después, hacer clic con el botón secundario del mouse (ratón) en el icono MSUDDIAppPool.
    3. Haga clic para seleccionar la opción de menú Reciclar. Hacerlo así permitirá que los Servicios UDDI reanuden el funcionamiento sin afectar a ningún otro servicio Web en el equipo.
Aparece un mensaje de error cuando se conecta a un equipo basado en Microsoft Windows NT 4.0 mediante canalizaciones con nombre
Cuando conecta con un equipo basado en Windows NT 4.0 que está ejecutando Microsoft SQL Server 2000 utilizando canalizaciones con nombre, y esa conexión es hecha por un usuario que no es administrador, puede recibir un mensaje de error similar a uno de los siguientes:
Mensaje 1
No se pudo establecer la conexión. SQL Server no existe
Mensaje 2
No se pudo establecer la conexión. Acceso denegado.
Para obtener una revisión que resuelva este mensaje de error, vea el artículo siguiente de Microsoft Knowledge Base:
823492 Recibe el mensaje de error "No se pudo establecer la conexión" al conectar con un equipo basado en Windows NT 4.0 que está ejecutando SQL Server 2000 o SQL Server 7.0

SQL Server 2000 64 bits

821280 MS03-031: Revisión de seguridad para SQL Server 2000 de 64 bits

SQL Server 7.0 Service Pack 4 (SP4) o Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Revisión de seguridad para el Service Pack 4 de SQL Server 7,0

Notas importantes

Lea estas importantes notas acerca de la instalación de esta revisión de seguridad en un equipo que esté ejecutando SQL Server 7.0 Service Pack 4 (SP4).
Aparece un mensaje de error cuando se conecta a un equipo basado en Microsoft Windows NT 4.0 mediante canalizaciones con nombre
Cuando conecta con un equipo basado en Windows NT 4.0 que está ejecutando Microsoft SQL Server 2000 utilizando canalizaciones con nombre, y esa conexión es hecha por un usuario que no es administrador, puede recibir un mensaje de error similar a uno de los siguientes:
Mensaje 1
No se pudo establecer la conexión. SQL Server no existe
Mensaje 2
No se pudo establecer la conexión. Acceso denegado.
Para obtener una revisión que resuelva este mensaje de error, vea el artículo siguiente de Microsoft Knowledge Base:
823492 Recibe el mensaje de error "No se pudo establecer la conexión" al conectar con un equipo basado en Windows NT 4.0 que está ejecutando SQL Server 2000 o SQL Server 7.0

Propiedades

Id. de artículo: 815495 - Última revisión: martes, 11 de julio de 2006 - Versión: 2.2
La información de este artículo se refiere a:
  • Microsoft SQL Server 2000 64-bit Edition
  • Service Pack 3 de Microsoft SQL Server 2000
  • Service Pack 3a de Microsoft SQL Server 2000
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Palabras clave: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com