MS03-031: Kumulativ sikkerhetsoppdatering for SQL-server

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 815495 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Microsoft har gitt ut en sikkerhetsoppdatering for å rette opp sikkerhetsproblemer i følgende produkter:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP3)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Her er en liste over sikkerhetsproblemene som rettes opp i denne sikkerhetsoppdateringen:
  • Kontroll over navngitt datakanal
    Når SQL-serveren starter, oppretter den en bestemt navngitt datakanal som den deretter lytter etter innkommende tilkoblinger til serveren på. En navngitt datakanal er en enveis eller toveis bestemt navngitt datakanal for kommunikasjon mellom en datakanalserver og én eller flere datakanalklienter. SQL-serveren kontrollerer den navngitte datakanalen for å verifisere hvilke tilkoblinger som kan brukes ved pålogging til systemet som kjører SQL-server, slik at det kan kjøres spørringer mot data som er lagret på serveren.

    Det er en feil i kontrollmetoden for den navngitte datakanalen. Dette kan føre til at en angriper som er lokalt på systemet som kjører SQL-server, kan få kontroll over den navngitte datakanalen når en annen klient bruker et godkjent påloggingspassord til å logge seg på. Dette gir angriperen kontroll over den navngitte datakanalen på samme tillatelsesnivå som brukeren som prøver å koble seg til. Hvis brukeren som prøver å koble seg til eksternt, har et høyere tillatelsesnivå enn angriperen, vil angriperen få de samme rettighetene når den navngitte datakanalen skades.
  • Avvisning av tjeneste (denial of service) for navngitt datakanal
    I samme scenario for navngitte datakanaler som er nevnt i avsnittet Kontroll over navngitt datakanal i denne artikkelen, kan en ikke-godkjent bruker som er lokalt på intranettet, sende en svært stor pakke til en bestemt navngitt datakanal der systemet som kjører SQL-server, lytter. Dette kan føre til at serveren ikke svarer.

    Dette sikkerhetsproblemet gir ikke en angriper tilgang til å kjøre en tilfeldig kode eller øke tilgangsnivåene. Tjenestenekt (denial of service) kan imidlertid fortsatt forekomme. Det betyr at du må starte serveren på nytt for å gjenopprette funksjonaliteten.
  • Bufferoverløp for SQL-server
    Det er en feil i en bestemt funksjon i Windows som kan føre til at en godkjent bruker som har direkte tilgang, kan logge seg på systemet som kjører SQL-server, og få mulighet til å opprette en spesiallaget pakke som kan føre til bufferoverløp når den sendes til lytteporten for lokalt prosedyrekall (LPC) på systemet. Hvis denne muligheten utnyttes, kan det gi en bruker med begrensede tillatelser på systemet mulighet til å øke tillatelsene til samme nivå som tjenestekontoen for SQL-serveren, eller det kan føre til at en tilfeldig kode kjøres.

Mer informasjon

Hvis du vil ha mer informasjon om disse sikkerhetsproblemene og hvordan du kan skaffe deg oppdateringene, velger du artikkelen i Microsoft Knowledge Base som tilsvarer SQL Server-versjonen, fra denne listen.

SQL Server 2000 Service Pack 3 (SP3) eller Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: Sikkerhetsoppdatering for SQL Server 2000 Service Pack 3

Viktige merknader

Les gjennom disse viktige merknadene angående installasjon av sikkerhetsoppdateringen på en datamaskin som kjører SQL Server 2000 SP3.
Tjenester for universell beskrivelse, oppdaging og integrasjon (UDDI)
Hvis du installerer denne sikkerhetsoppdateringen på en datamaskin som kjører Microsoft Windows Server 2003, og UDDI-tjenester er installert, må du gjøre ett av to for å starte UDDI-tjenester på nytt, avhengig av omstendighetene. UDDI-tjenestene vil ikke fungere normalt før du gjør dette.
  • Hvis ingen annen webtjeneste er i bruk på datamaskinen som kjører Windows Server 2003, kan du starte UDDI-tjenestene på nytt ved å starte Microsoft Internet Information Services (IIS) på nytt. Å starte IIS på nytt er det samme som å avslutte IIS og deretter starte den på nytt, bortsett fra at det gjøres med én kommando. Du kan starte IIS på nytt på to måter:
    • Ved å bruke det grafiske brukergrensesnittet til IIS Manager.
    • Ved å bruke kommandolinjeverktøyet IISReset.
  • Hvis andre webtjenester er i bruk på datamaskinen som kjører Windows Server 2003, er det ikke sikkert du ønsker å påvirke operasjonen deres. Følg disse trinnene for å starte UDDI-tjenestene på nytt:
    1. Start verktøyet IIS Manager.
    2. Gå til mappen Applikasjonssamvirke, og høyreklikk deretter ikonet MSUDDIAppPool.
    3. Klikk for å velge menyalternativet Resirkuler. Når du gjør dette, kan UDDI-tjenestene gjenoppta operasjonen uten å påvirke noen annen webtjeneste på maskinen.
Det vises en feilmelding når du kobler til en Microsoft Windows NT 4.0-basert datamaskin ved hjelp av navngitte datakanaler
Når du kobler til en Microsoft Windows NT 4.0-basert datamaskin som kjører Microsoft SQL Server 2000, ved hjelp av navngitte datakanaler, og tilkoblingen gjøres av en bruker som ikke er administrator, kan du få en feilmelding som ligner på en av disse:
Melding 1
Kan ikke koble til. SQL-serveren finnes ikke.
Melding 2
Kan ikke koble til. Ingen tilgang.
Hvis du vil ha en hurtigreparasjon for å løse feilmeldingen, kan du se følgende artikkel i Microsoft Knowledge Base:
823492 Du får feilmeldingen "Kan ikke koble til" når du kobler til en Windows NT 4.0-basert datamaskin som kjører SQL Server 2000 eller SQL Server 7.0 (denne artikkelen kan være på engelsk)

SQL Server 2000 64-bit

821280 MS03-031: Sikkerhetsoppdatering for SQL Server 2000 64-biters

SQL Server 7.0 Service Pack 4 (SP4) eller Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Sikkerhetsoppdatering for SQL Server 7,0 Service Pack 4

Viktige merknader

Les gjennom disse viktige merknadene om installasjon av sikkerhetsoppdateringen på en datamaskin som kjører SQL Server 7.0 Service Pack 4 (SP4).
Det vises en feilmelding når du kobler til en Microsoft Windows NT 4.0-basert datamaskin ved hjelp av navngitte datakanaler
Når du kobler til en Microsoft Windows NT 4.0-basert datamaskin som kjører Microsoft SQL Server 2000, ved hjelp av navngitte datakanaler, og tilkoblingen gjøres av en bruker som ikke er administrator, kan du få en feilmelding som ligner på en av disse:
Melding 1
Kan ikke koble til. SQL-serveren finnes ikke.
Melding 2
Kan ikke koble til. Ingen tilgang.
Hvis du vil ha en hurtigreparasjon for å løse feilmeldingen, kan du se følgende artikkel i Microsoft Knowledge Base:
823492 Du får feilmeldingen "Kan ikke koble til" når du kobler til en Windows NT 4.0-basert datamaskin som kjører SQL Server 2000 eller SQL Server 7.0 (denne artikkelen kan være på engelsk)

Egenskaper

Artikkel-ID: 815495 - Forrige gjennomgang: 3. juli 2006 - Gjennomgang: 2.2
Informasjonen i denne artikkelen gjelder:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Nøkkelord: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com