MS03-031: תיקון אבטחה מצטבר עבור SQL Server

תרגומי מאמרים תרגומי מאמרים
Article ID: 815495 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

תקציר

חברת Microsoft פרסמה תיקון אבטחה כדי לתקן את הפגיעויות במוצרים הבאים:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
להלן רשימת פגיעויות הנפתרות בתיקון אבטחה זה:
  • חטיפת רכיב Named Pipe
    עם הפעלת SQL Server, הוא יוצר רכיב Named Pipe ספציפי ולאחר מכן מאזין באמצעותו לחיבורים נכנסים לשרת. רכיב Named Pipe הוא ערוץ ספציפי בעל שם, חד-כיווני או דו-כיווני, לתקשורת בין שרת pipe לבין מחשב לקוח pipe אחד או יותר. SQL Server בודק את רכיב ה-named pipe כדי לוודא אילו התקשרויות יכולות להתחבר למערכת המפעילה את SQL Server כדי להפעיל שאילתות מול הנתונים המאוחסנים בשרת.

    בשיטת הבדיקה עבור רכיב ה-named pipe קיים ליקוי העלול לאפשר לתוקף מקומי במערכת, המפעיל את SQL Server, לחטוף את (לקבל שליטה על) רכיב ה-named pipe כאשר מחשב לקוח אחר עושה שימוש בסיסמת התחברות מאומתת כדי להיכנס למערכת. הדבר עלול לאפשר לתוקף לקבל שליטה על רכיב ה-named pipe באותה רמת הרשאות של המשתמש המנסה להתחבר למערכת. אם למשתמש המנסה להתחבר למערכת מרחוק יש רמת הרשאות גבוהה מזו של התוקף, יתפוס התוקף הרשאות אלו כאשר רכיב ה-named pipe נמצא בסיכון.
  • מניעת שירות מרכיב Named Pipe
    בתרחיש של רכיבי named pipe הזהה לתרחיש המוזכר בסעיף 'חטיפת רכיב Named Pipe' במאמר זה, משתמש לא-מאומת שהוא מקומי לרשת האינטרה-נט עלול לקבל את האפשרות לשלוח מנה גדולה מאד לרכיב named pipe ספציפי, שבו מאזינה המערכת המפעילה את SQL Server, ולגרום לו להפסיק להגיב.

    פגיעות זו אינה מתירה לתוקף להפעיל קוד שרירותי או להעלות את רמת ההרשאות, אך עם זאת עלול להתקיים מצב של מניעת שירות הדורש הפעלה מחדש של השרת כדי להחזיר את המערכת לפעולה תקינה.
  • הצפת מאגר ב-SQL Server
    בפונקציה מסוימת של מערכת Windows קיים ליקוי העלול לאפשר למשתמש מאומת, שיש לו גישה ישירה למערכת המפעילה את SQL Server, ליצור מנה מתוכננת במיוחד. כאשר תישלח מנה זו ליציאת המערכת המאזינה לקריאה לפרוצדורה מקומית (LPC), עלול המאגר להיות מוצף. ליקוי זה, כשעושים בו שימוש, עלול לאפשר למשתמש בעל הרשאות מוגבלות במערכת להעלות את רמת ההרשאות שלו ולהשוותה לזו של חשבון השירות של SQL Server, או לגרום להפעלת קוד שרירותי.

מידע נוסף

לקבלת פרטים נוספים על פגיעויות אלה ועל הדרך להשיג את התיקונים, בחר מהרשימה שלהלן את מאמר מאגר הידע Microsoft Knowledge Base המתאים לגירסת SQL שברשותך.

SQL Server 2000 Service Pack 3 (SP3) או Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: תיקון אבטחה עבור SQL Server 2000 Service Pack 3

הערות חשובות

קרא הערות חשובות אלה הנוגעות להתקנת תיקון אבטחה זה במחשב בו פועל SQL Server 2000 SP3:
שירותי התיאור, האיתור והשילוב Universal Description, Discovery, and Integration Services (UDDI)
בעת התקנת תיקון אבטחה זה במחשב שבו פועל Microsoft Windows Server 2003 ושבו מותקנים שירותי UDDI, יש לנקוט - בהתאם לנסיבות - אחת משתי הפעולות הבאות במטרה להפעיל מחדש את שירותי UDDI. שירותי UDDI לא יחזרו לפעולה תקינה עד לביצוע הפעולה האמורה.
  • אם אף שירות אינטרנט אחר אינו בשימוש במחשב שבו פועל Windows Server 2003, באפשרותך להפעיל מחדש את שירותי UDDI על-ידי הפעלה מחדש של Microsoft Internet Information Services (IIS). הפעלה מחדש של שירותי IIS זהה לפעולת עצירה של שירותי IIS ולאחר מכן הפעלתם בשנית, לבד מן העובדה כי היא נעשית בפקודה אחת. קיימות שתי דרכים להפעיל מחדש את שירותי IIS:
    • שימוש בממשק המשתמש הגרפי של 'מנהל שירותי IIS'.
    • שימוש בתוכנית השירות של שורת הפקודה IISReset.
  • אם שירותי אינטרנט נוספים נמצאים בשימוש במחשב שבו פועל Windows Server 2003, רצוי שלא להשפיע על פעולתם. כדי להפעיל מחדש את שירותי UDDI, בצע את הפעולות הבאות:
    1. הפעל את תוכנית השירות IIS Manager.
    2. אתר את התיקייה Application Pools ולאחר מכן לחץ באמצעות לחצן העכבר הימני על הסמל MSUDDIAppPool.
    3. לחץ כדי לבחור באפשרות Recycle מהתפריט. פעולה זו תאפשר לשירותי UDDI לחזור לפעולה מבלי להשפיע על כל שירות אינטרנט אחר במחשב.
מופיעה הודעת שגיאה בעת התחברות למחשב מבוסס Microsoft Windows NT 4.0 באמצעות רכיבי Named Pipe
כאשר אתה מתחבר למחשב מבוסס Windows NT 4.0 המפעיל את Microsoft SQL Server 2000 באמצעות רכיבי Named Pipe, וכאשר אותה התחברות מתבצעת על-ידי משתמש שאינו מנהל מערכת, עשויה להופיע הודעת שגיאה הדומה לאחת מהבאות:
הודעה 1
Connection could not be established. SQL Server does not exist
הודעה 2
Connection could not be established. Access is denied.
כדי להשיג תיקון חם לפתרון הודעת שגיאה זו, עיין במאמר שלהלן מתוך מאגר הידע Microsoft Knowledge Base:
823492 בעת התחברות למחשב מבוסס Windows NT 4.0 שבו פועל SQL Server 2000 או SQL Server 7.0 מתקבלת הודעת שגיאה בנוסח Connection Could Not Be Established (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

SQL Server 2000 64-bit

821280 MS03-031: תיקון אבטחה עבור SQL Server 2000 64-bit?

SQL Server 7.0 Service Pack 4 (SP4) או Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: תיקון אבטחה עבור SQL Server 7.0 Service Pack 4

הערות חשובות

קרא הוראות חשובות אלה הנוגעות להתקנת תיקון אבטחה זה במחשב שבו פועל SQL Server 7.0 Service Pack 4 (SP4).
מופיעה הודעת שגיאה בעת התחברות למחשב מבוסס Microsoft Windows NT 4.0 באמצעות רכיבי Named Pipe
כאשר אתה מתחבר למחשב מבוסס Windows NT 4.0 המפעיל את Microsoft SQL Server 2000 באמצעות רכיבי Named Pipe, וכאשר אותה התחברות מתבצעת על-ידי משתמש שאינו מנהל מערכת, עשויה להופיע הודעת שגיאה הדומה לאחת מהבאות:
הודעה 1
Connection could not be established. SQL Server does not exist
הודעה 2
Connection could not be established. Access is denied.
כדי להשיג תיקון חם לפתרון הודעת שגיאה זו, עיין במאמר שלהלן מתוך מאגר הידע Microsoft Knowledge Base:
823492 בעת התחברות למחשב מבוסס Windows NT 4.0 שבו פועל SQL Server 2000 או SQL Server 7.0 מתקבלת הודעת שגיאה בנוסח Connection Could Not Be Established (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

מאפיינים

Article ID: 815495 - Last Review: יום חמישי 18 מאי 2006 - Revision: 2.2
המידע במאמר זה חל על:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
מילות מפתח 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com