MS03-031: Összesített biztonsági javítás az SQL Server programhoz

A cikk fordítása A cikk fordítása
Cikk azonosítója: 815495 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A Microsoft biztonsági javítást adott ki az alábbi termékekben található biztonsági rések megszüntetésére:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
A biztonsági javítással megszüntetett biztonsági rések az alábbiak:
  • Named pipe eltérítése
    Az SQL Server indításkor létrehoz egy adott named pipe-ot, amelyen azt követően a kiszolgáló bejövő kapcsolatait figyeli. A named pipe egy speciális névvel rendelkező egy- vagy kétirányú csatorna, amely egy pipe-kiszolgáló és egy vagy több pipe-ügyfél között biztosít kommunikációt. Az SQL Server a named pipe ellenőrzésével megállapítja, hogy a kapcsolatok bejelentkezhetnek-e az SQL Server programot futtató rendszerbe annak érdekében, hogy a kiszolgálón tárolt adatokon lekérdezéseket futtassanak.

    A named pipe ellenőrzési módszerében egy hiba található, amely lehetővé teheti az esetleges támadónak – ebben az esetben az SQL Server programot futtató rendszer egy helyi felhasználójának –, hogy eltérítse a named pipe-ot (vagyis átvegye felette az irányítást), amikor egy másik ügyfél egy hitelesített jelszóval bejelentkezik. Ily módon a támadó ugyanazzal az engedélyszinttel kapja meg a named pipe vezérlését, mint a kapcsolódni próbáló felhasználó. Amennyiben a távolról csatlakozni kívánó felhasználó a támadóénál magasabb szintű jogosultságokkal rendelkezik, a támadó a named pipe feletti vezérlés megszerzésekor szert tesz ezekre.
  • Named pipe-alapú szolgáltatásmegtagadás
    A named pipe eltérítésével kapcsolatos fenti részben ismertetettekkel megegyező helyzetben a helyi intranetes hitelesítetlen felhasználók nagyon nagy méretű adatcsomagot küldhetnek annak a named pipe-nak, ahol az SQL Server szolgáltatást futtató számítógép figyelést végez, ezáltal megbénítva azt.

    Ez a biztonsági rés nem teszi lehetővé tetszőleges kód futtatását vagy az engedélyszint megemelését; azonban egy szolgáltatásmegtagadási állapot jön létre, amely a működés helyreállítása érdekében újraindítást tesz szükségessé.
  • Puffertúlcsordulás az SQL Server programban
    A Windows rendszer egyik függvényének hibája lehetővé teheti egy olyan hitelesített felhasználónak, aki az SQL Server programot futtató rendszerhez a bejelentkezést biztosító közvetlen hozzáféréssel rendelkezik, hogy egy speciálisan létrehozott adatcsomagot a rendszer helyi eljáráshívási (LPC-) portjára küldve puffertúlcsordulást okozzon. A biztonsági rés kiaknázása révén egy korlátozott engedélyekkel rendelkező felhasználó az SQL Server szolgáltatásfiókjának szintjére emelheti az engedélyeit, valamint tetszőleges kódot futtathat.

További információ

Ezekről a biztonsági résekről, illetve a megfelelő javítások beszerzéséről a Microsoft Tudásbázis alábbi cikkei közül az SQL Server Ön által használt verziójának megfelelő cikkben tájékozódhat:

SQL Server 2000 Service Pack 3 (SP3) vagy Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277
821277 MS03-031: Biztonsági javítás az SQL Server 2000 Service Pack 3 szervizcsomagjához

Fontos megjegyzések

Olvassa el az alábbi fontos megjegyzéseket a biztonsági javítás SQL Server 2000 SP3 programot futtató számítógépre való telepítésére vonatkozóan.
UDDI- (Universal Description, Discovery and Integration) szolgáltatások
Ha ezt a biztonsági javítást UDDI-szolgáltatásokat futtató Microsoft Windows Server 2003 rendszeren telepíti, a körülményektől függően két lehetséges művelet egyikével újra kell indítani az UDDI-szolgáltatásokat, mert addig azok nem fognak megfelelő módon működni.
  • Ha a Windows Server 2003 rendszerű számítógépen nem fut más egyéb webes szolgáltatás, akkor az UDDI-szolgáltatásokat a Microsoft Internet Information Services (IIS) szolgáltatás újraindításával indíthatja újra. Az IIS újraindítása egyenértékű az IIS leállításával és ezt követő újraindításával, azzal a különbséggel, hogy egyetlen paranccsal hajtható végre. Az IIS újraindítása két módon lehetséges:
    • Használhatja az IIS-kezelő grafikus felhasználói felületét.
    • Alkalmazhatja az IISReset parancssori segédprogramot.
  • Ha az említett számítógépen más webes szolgáltatások is futnak, célszerű úgy eljárni, hogy azok működésére ne legyen hatással a művelet. Az UDDI-szolgáltatások újraindítása a következőképpen lehetséges:
    1. Indítsa el az IIS-kezelő segédprogramot.
    2. Keresse meg az Alkalmazáskészletek mappát, majd kattintson a jobb gombbal az MSUDDIAppPool ikonra.
    3. Kattintással jelölje ki az Újrahasznosítás menüpontot. Ezzel a megoldással az UDDI-szolgáltatások a számítógépen futó egyéb webes szolgáltatások zavarása nélkül indíthatók újra.
Hibaüzenet jelenik meg, amikor named pipe-okkal csatlakozik Microsoft Windows NT 4.0 rendszerű számítógéphez
Ha egy Windows NT 4.0 rendszerű, Microsoft SQL Server 2000 programot futtató számítógéphez named pipe-ok használatával próbál kapcsolódni, és a kapcsolatot nem rendszergazdaként hozza létre, az alábbiak egyikéhez hasonló hibaüzenet jelenhet meg:
1. üzenet
A kapcsolat nem hozható létre. Az SQL-kiszolgáló nem létezik
2. üzenet
A kapcsolat nem hozható létre. A hozzáférés megtagadva.
A probléma megoldásához szükséges gyorsjavítás beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
823492 A kapcsolódás meghiúsulására utaló hibaüzenet jelenik meg, ha csatlakozik egy Windows NT 4.0 rendszerű, SQL Server 2000 vagy SQL Server 7.0 programot futtató számítógéphez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

SQL Server 2000 64-bites változat

821280 MS03-031: Biztonsági javítás az SQL Server 2000 64-bites változatához

SQL Server 7.0 Service Pack 4 (SP4) vagy Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Biztonsági javítás az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához

Fontos megjegyzések

Olvassa el az alábbi fontos megjegyzéseket a biztonsági javítás SQL Server 7.0 Service Pack 4 (SP4) programot futtató számítógépre való telepítésére vonatkozóan.
Hibaüzenet jelenik meg, amikor named pipe-okkal csatlakozik Microsoft Windows NT 4.0 rendszerű számítógéphez
Ha egy Windows NT 4.0 rendszerű, Microsoft SQL Server 2000 programot futtató számítógéphez named pipe-ok használatával próbál kapcsolódni, és a kapcsolatot nem rendszergazdaként hozza létre, az alábbiak egyikéhez hasonló hibaüzenet jelenhet meg:
1. üzenet
A kapcsolat nem hozható létre. Az SQL-kiszolgáló nem létezik
2. üzenet
A kapcsolat nem hozható létre. A hozzáférés megtagadva.
A probléma megoldásához szükséges gyorsjavítás beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
823492 A kapcsolódás meghiúsulására utaló hibaüzenet jelenik meg, ha csatlakozik egy Windows NT 4.0 rendszerű, SQL Server 2000 vagy SQL Server 7.0 programot futtató számítógéphez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Tulajdonságok

Cikk azonosítója: 815495 - Utolsó ellenőrzés: 2006. július 4. - Verziószám: 2.2
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Kulcsszavak: 
kbbug kbfix kbsqlserv2000presp4fea kbqfe kbsqlserv700presp5fix KB815495
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com