[MS03-031] SQL Server 用の累積的なセキュリティ修正プログラム

文書翻訳 文書翻訳
文書番号: 815495 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

マイクロソフトは、以下の製品に含まれる脆弱性を修正するセキュリティ更新プログラムをリリースしました。
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
このセキュリティ更新プログラムで解決される脆弱性の一覧を以下に示します。
  • 名前付きパイプのハイジャック
    SQL Server が起動すると、サーバーへの着信接続用に特定の名前付きパイプが作成されてリッスンされます。名前付きパイプは、特定の名前が付けられた一方向または双方向のチャネルで、パイプ サーバーと 1 つ以上のパイプ クライアントとの間で通信を行うために使用されます。SQL Server は名前付きパイプをチェックし、どの接続が SQL Server を実行するシステムにログオンして、サーバー上に保存されたデータに対してクエリを実行できるかを検証します。

    名前付きパイプのチェック方法に存在する問題により、SQL Server を実行するシステムに対してローカルな攻撃者が、別のクライアントが認証済みログオン パスワードを使用してログオンしたときに、名前付きパイプをハイジャックする (名前付きパイプの制御を取得する) 可能性があります。これにより、攻撃者は、接続を試行しているユーザーと同じアクセス許可レベルで名前付きパイプの制御を取得することができます。リモートから接続を試行しているユーザーが、攻撃者のアクセス許可よりも高いレベルのアクセス許可を持っている場合、名前付きパイプが侵害されると、攻撃者はその高いレベルのアクセス許可を取得することになります。
  • 名前付きパイプのサービス拒否
    前述の「名前付きパイプのハイジャック」と同じ名前付きパイプのシナリオで、イントラネットに対してローカルな、認証されていないユーザーが、SQL Server を実行するシステムがリッスン中の特定の名前付きパイプに対して非常に大きなパケットを送信して、SQL Server の応答を停止させる可能性があります。

    この脆弱性によって、攻撃者が任意のコードを実行したり、アクセス権を昇格させたりすることはできません。ただし、サービス拒否の状態が発生した場合、サーバーの機能を回復するためにサーバーの再起動が必要になることがあります。
  • SQL Server のバッファ オーバーラン
    Windows の特定の機能に存在する問題により、SQL Server を実行するシステムに直接ログオンできる権限を持つ認証されたユーザーが、特殊なパケットを作成する可能性があります。そのパケットがシステムのリッスン中のローカル プロシージャ コール (LPC) ポートに送信されると、バッファ オーバーランが発生する可能性があります。この脆弱性が悪用されると、アクセス権が制限されているユーザーが、SQL Server サービス アカウントのアクセス権レベルまで自分自身のアクセス権を昇格したり、任意のコードを実行したりする可能性があります。

詳細

これらの脆弱性および更新プログラムの入手方法の詳細については、以下の一覧から、使用中の SQL Server のバージョンに応じた「サポート技術情報」 (Microsoft Knowledge Base) を参照してください。

SQL Server 2000 Service Pack 3 (SP3) または Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 [MS03-031] SQL Server 2000 Service Pack 3 用のセキュリティ修正プログラム

注意事項

SQL Server 2000 SP3 を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合は、以下の注意事項に目を通してください。
UDDI (Universal Description, Discovery, and Integration) サービス
UDDI サービスがインストールされた Microsoft Windows Server 2003 を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合、以下の 2 つの操作のうち使用中の環境に応じた操作を行って、UDDI サービスを再起動する必要があります。UDDI サービスの通常の動作は、手動で再起動するまで再開されません。
  • Windows Server 2003 を実行するコンピュータで他の Web サービスを使用していない場合、Microsoft インターネット インフォメーション サービス (IIS) を再起動することによって、UDDI サービスを再起動できます。IIS を再起動する操作は、IIS をいったん停止した後に再び開始する操作と同じですが、再起動は 1 つのコマンドで実行できます。IIS を再起動する方法には以下の 2 つがあります。
    • インターネット インフォメーション サービス (IIS) マネージャのグラフィカル ユーザー インターフェイスを使用します。
    • IISReset コマンド ライン ユーティリティを使用します。
  • Windows Server 2003 を実行するコンピュータで他の Web サービスを使用している場合、それらのサービスに影響を及ぼさないように再起動することができます。UDDI サービスを再起動するには、次の手順を実行します。
    1. インターネット インフォメーション サービス (IIS) マネージャを起動します。
    2. [アプリケーション プール] フォルダをクリックし、[MSUDDIAppPool] を右クリックします。
    3. [リサイクル] をクリックします。この操作により、コンピュータ上の他の Web サービスに影響を及ぼすことなく、UDDI サービスの動作を再開できます。
名前付きパイプを使用して Microsoft Windows NT 4.0 ベースのコンピュータに接続するとエラー メッセージが表示される
Microsoft SQL Server 2000 を実行する Windows NT 4.0 ベースのコンピュータに名前付きパイプを使用して接続するとき、管理者以外のユーザーが接続を行うと、以下のいずれかのようなエラー メッセージが表示されることがあります。
メッセージ 1
接続できません。SQL Server が存在しません。
メッセージ 2
接続できません。アクセスが拒否されました。
このエラー メッセージを解決する修正プログラムを入手するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
823492 SQL Server 2000 または SQL Server 7.0 を実行中の Windows NT 4.0 ベース コンピュータに接続する際のエラー メッセージ "接続できません"

SQL Server 2000 64-bit

821280 [MS03-031] SQL Server 2000 64-bit 用のセキュリティ修正プログラム

SQL Server 7.0 Service Pack 4 (SP4) または Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 [MS03-031] SQL Server 7.0 Service Pack 4 用のセキュリティ修正プログラム

注意事項

SQL Server 7.0 Service Pack 4 (SP4) を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合は、以下の注意事項に目を通してください。
名前付きパイプを使用して Microsoft Windows NT 4.0 ベースのコンピュータに接続するとエラー メッセージが表示される
Microsoft SQL Server 2000 を実行する Windows NT 4.0 ベースのコンピュータに名前付きパイプを使用して接続するとき、管理者以外のユーザーが接続を行うと、以下のいずれかのようなエラー メッセージが表示されることがあります。
メッセージ 1
接続できません。SQL Server が存在しません。
メッセージ 2
接続できません。アクセスが拒否されました。
このエラー メッセージを解決する修正プログラムを入手するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
823492 SQL Server 2000 または SQL Server 7.0 を実行中の Windows NT 4.0 ベース コンピュータに接続する際のエラー メッセージ "接続できません"

プロパティ

文書番号: 815495 - 最終更新日: 2006年7月19日 - リビジョン: 2.2
この資料は以下の製品について記述したものです。
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
キーワード:?
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com