MS03-031: Patch di protezione cumulativa per SQL Server

Traduzione articoli Traduzione articoli
Identificativo articolo: 815495 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Microsoft ha rilasciato una patch di protezione per risolvere le vulnerabilitÓ nei seguenti prodotti:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 a 64 bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Di seguito Ŕ riportato un elenco delle vulnerabilitÓ risolte in questa patch di protezione:
  • Acquisizione del controllo della named pipe
    All'avvio di SQL Server viene creata una specifica named pipe analizzata in seguito dal programma per rilevare le connessioni in ingresso sul server. La named pipe Ŕ un canale unidirezionale o bidirezionale con un nome specifico per la comunicazione tra un server pipe e uno o pi¨ client pipe. Tale named pipe viene verificata per stabilire con quali connessioni Ŕ possibile effettuare l'accesso al sistema su cui viene eseguito SQL Server ed eseguire query sui dati memorizzati sul server.

    ╚ tuttavia presente un difetto nel metodo di controllo della named pipe che potrebbe consentire a un utente malintenzionato interno al sistema su cui viene eseguito SQL Server di acquisire il controllo della named pipe nel momento in cui viene effettuato l'accesso con password di autenticazione da un altro client. In questo modo l'utente malintenzionato potrebbe acquisire il controllo della named pipe con lo stesso livello di autorizzazioni dell'utente che tenta di effettuare la connessione. Se l'utente che tenta di effettuare la connessione remota dispone di autorizzazioni di livello superiore rispetto a quelle dell'utente malintenzionato, quest'ultimo acquisirÓ tali diritti nel momento in cui la named pipe verrÓ compromessa.
  • Attacco di tipo Denial of Service alla named pipe
    Nello stesso scenario di named pipe illustrato precedentemente nella sezione "Acquisizione del controllo della named pipe", un utente non autenticato della rete Intranet locale potrebbe riuscire a inviare un pacchetto di grandi dimensioni a una determinata named pipe analizzata dal sistema su cui Ŕ in esecuzione SQL Server, causandone il blocco.

    Questa vulnerabilitÓ non consente all'utente malintenzionato di eseguire codice arbitrario o di elevare il livello delle proprie autorizzazioni. Si pu˛ tuttavia verificare una condizione di Denial of Service in seguito alla quale sarÓ necessario il riavvio del server per ripristinarne le funzionalitÓ.
  • Sovraccarico del buffer di SQL Server
    In una specifica funzione di Windows Ŕ presente un difetto che potrebbe consentire a un utente autenticato con accesso diretto al sistema su cui viene eseguito SQL Server di creare un pacchetto appositamente formulato che pu˛ causare un sovraccarico del buffer nel momento in cui viene inviato alla porta LPC (Local Procedure Call) di attesa del sistema. Se sfruttata, questa vulnerabilitÓ pu˛ permettere a un utente con autorizzazioni limitate nel sistema di elevare il livello delle proprie autorizzazioni a quello dell'account dei servizi di SQL Server oppure pu˛ causare l'esecuzione di codice arbitrario.

Informazioni

Per ulteriori informazioni su queste vulnerabilitÓ e su come ottenere le patch corrispondenti, selezionare l'articolo della Microsoft Knowledge Base appropriato per la versione di SQL Server in uso dall'elenco seguente.

SQL Server 2000 Service Pack 3 (SP3) o Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: Patch di protezione per SQL Server 2000 Service Pack 3

Note importanti

Leggere queste importanti note relative all'installazione della patch di protezione in un computer che esegue SQL Server 2000 SP3.
Servizi UDDI (Universal Description, Discovery, and Integration)
Se la patch di protezione viene installata su un computer con Microsoft Windows Server 2003 e i Servizi UDDI, Ŕ necessario effettuare una delle due operazioni indicate di seguito per riavviare i Servizi UDDI, a seconda delle circostanze. Solo in seguito verrÓ ripristinato il normale funzionamento dei Servizi UDDI.
  • Se nel computer che esegue Windows Server 2003 non Ŕ in uso nessun altro servizio Web, sarÓ possibile riavviare i Servizi UDDI riavviando Microsoft Internet Information Services (IIS). Il riavvio di IIS corrisponde all'interruzione di IIS e al successivo riavvio, con l'unica differenza che l'operazione viene effettuata con un unico comando. Per riavviare IIS, Ŕ possibile operare in due modi:
    • Utilizzare l'interfaccia grafica di Gestione IIS.
    • Utilizzare l'utilitÓ della riga di comando IISReset.
  • Se nel computer che esegue Windows Server 2003 sono in uso altri servizi Web, Ŕ consigliabile non influire sul funzionamento di questi servizi. Per riavviare i servizi UDDI, attenersi alla seguente procedura:
    1. Avviare l'utilitÓ Gestione IIS.
    2. Individuare la cartella Pool di applicazioni, quindi fare clic con il pulsante destro del mouse sull'icona MSUDDIAppPool.
    3. Selezionare l'opzione di menu Riciclo. I servizi UDDI potranno cosý riprendere a funzionare senza influire su altri servizi Web nel computer.
Visualizzazione di un messaggio di errore quando si effettua la connessione a un computer basato su Microsoft Windows NT 4.0 utilizzando named pipe
Quando si effettua la connessione a un computer basato su Windows NT 4.0 che esegue Microsoft SQL Server 2000 utilizzando named pipe e la connessione viene effettuata da un utente non amministratore, Ŕ possibile che venga visualizzato un messaggio di errore analogo a uno di quelli riportati di seguito:
Messaggio 1
Impossibile stabilire la connessione. Server SQL inesistente.
Messaggio 2
Impossibile stabilire la connessione. Accesso negato.
Per ottenere un hotfix per risolvere il problema relativo a questo messaggio di errore, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823492 Messaggio di errore "Connection Could Not Be Established" quando si stabilisce la connessione a un computer basato su Windows NT 4.0 che esegue SQL Server 2000 o SQL Server 7.0

SQL Server 2000 a 64 bit

821280 MS03-031: Patch di protezione per SQL Server 2000 64 bit

SQL Server 7.0 Service Pack 4 (SP4) o Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Patch di protezione per SQL Server 7.0 Service Pack 4

Note importanti

Leggere queste importanti note sull'installazione della patch di protezione in un computer che esegue SQL Server 7.0 Service Pack 4 (SP4).
Visualizzazione di un messaggio di errore quando si effettua la connessione a un computer basato su Microsoft Windows NT 4.0 utilizzando named pipe
Quando si effettua la connessione a un computer basato su Windows NT 4.0 che esegue Microsoft SQL Server 2000 utilizzando named pipe e la connessione viene effettuata da un utente non amministratore, Ŕ possibile che venga visualizzato un messaggio di errore analogo a uno di quelli riportati di seguito:
Messaggio 1
Impossibile stabilire la connessione. Server SQL inesistente.
Messaggio 2
Impossibile stabilire la connessione. Accesso negato.
Per ottenere un hotfix per risolvere il problema relativo a questo messaggio di errore, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823492 Messaggio di errore "Connection Could Not Be Established" quando si stabilisce la connessione a un computer basato su Windows NT 4.0 che esegue SQL Server 2000 o SQL Server 7.0

ProprietÓ

Identificativo articolo: 815495 - Ultima modifica: lunedý 10 luglio 2006 - Revisione: 2.2
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Chiavi:á
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com