MS03-031: Zbiorcza poprawka zabezpieczeń dla programu SQL Server

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 815495 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Firma Microsoft wydała poprawkę zabezpieczeń eliminującą luki w następujących produktach:
  • Microsoft SQL Server 2000 z dodatkiem Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) z dodatkiem Service Pack 3
  • Microsoft SQL Server 2000 64-bitowy
  • Microsoft SQL Server 7.0 z dodatkiem Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 z dodatkiem Service Pack 4 (SP4)
Oto lista luk eliminowanych przez tę poprawkę zabezpieczeń:
  • Przejęcie kontroli nad nazwanym potokiem
    Podczas uruchamiania program SQL Server tworzy specjalny nazwany potok dla przychodzących połączeń z serwerem, a następnie go nasłuchuje. Nazwany potok to nazwany, jedno- lub dwukierunkowy kanał służący do komunikacji pomiędzy serwerem potoku a jednym lub większą liczbą klientów potoku. Program SQL Server sprawdza ten nazwany potok, aby stwierdzić, które połączenia mogą zalogować się do systemu z uruchomionym programem SQL Server w celu uruchomienia kwerend dotyczących danych przechowywanych na serwerze.

    Metoda tego sprawdzania nazwanego potoku ma wadę, która umożliwia atakującemu zalogowanemu lokalnie do systemu z uruchomionym programem SQL Server przejęcie kontroli nad tym nazwanym potokiem, gdy inny klient używa do zalogowania się uwierzytelnionego hasła logowania. Umożliwiłoby to atakującemu uzyskanie kontroli nad nazwanym potokiem na tym samym poziomie uprawnień, jaki ma użytkownik próbujący się połączyć. Jeśli użytkownik próbujący się połączyć zdalnie ma wyższy poziom uprawnień niż atakujący, atakujący przejmuje jego prawa po złamaniu zabezpieczeń nazwanego potoku.
  • Odmowa usługi związana z nazwanym potokiem
    W tym samym scenariuszu nazwanych potoków, który opisano w sekcji „Przejęcie kontroli nad nazwanym potokiem” tego artykułu, nieuwierzytelniony użytkownik zalogowany lokalnie do intranetu mógłby być w stanie wysłać bardzo duży pakiet do specjalnego nazwanego potoku, który jest nasłuchiwany przez system z uruchomionym programem SQL Server, i spowodować, że system ten przestanie odpowiadać.

    Ta luka nie pozwala atakującemu na uruchomienie żadnego kodu ani na podwyższenie swoich uprawnień; jednak nadal może istnieć warunek odmowy usługi wymagający ponownego uruchomienia serwera w celu przywrócenia jego działania.
  • Przekroczenie buforu w programie SQL Server
    Pewna określona funkcja systemu Windows ma wadę, która pozwala nieuwierzytelnionemu użytkownikowi, mającemu możliwość bezpośredniego zalogowania się do systemu z programem SQL Server, na utworzenie umiejętnie zmodyfikowanego pakietu, który po wysłaniu go do portu w tym systemie nasłuchującego lokalnego wywoływania procedur może spowodować przekroczenie buforu. Wada ta, pomyślnie wykorzystana, umożliwia użytkownikowi, który ma ograniczone uprawnienia do systemu, podwyższenie swoich uprawnień do poziomu konta usługi programu SQL Server lub uruchomienie dowolnego kodu.

Więcej informacji

Aby uzyskać więcej informacji dotyczących tych luk w zabezpieczeniach i sposobu uzyskania odpowiednich poprawek, wybierz z następującej listy artykuł z bazy wiedzy Microsoft Knowledge Base, który odpowiada posiadanej wersji programu SQL Server.

Program SQL Server 2000 z dodatkiem Service Pack 3 (SP3) lub program Microsoft SQL Server 2000 Desktop Engine (MSDE) z dodatkiem Service Pack 3 (SP3)

821277 MS03-031: Poprawka zabezpieczeń dla programu SQL Server 2000 z dodatkiem Service Pack 3

Ważne informacje

Przeczytaj niniejsze ważne informacje dotyczące instalacji tej poprawki zabezpieczeń na komputerze, na którym jest uruchomiony program SQL Server 2000 z dodatkiem SP3.
Usługi UDDI (Universal Description, Discovery, and Integration)
Jeśli instalujesz tę poprawkę zabezpieczeń na komputerze z programem Microsoft Windows Server 2003 i usługami UDDI, musisz jedno- lub dwukrotnie, w zależności od okoliczności, uruchomić ponownie usługi UDDI. Dopóki tego nie zrobisz, usługi UDDI nie będą działały normalnie.
  • Jeśli na komputerze z programem Windows Server 2003 nie są w użyciu żadne inne usługi sieci Web, usługi UDDI można uruchomić ponownie, uruchamiając ponownie internetowe usługi informacyjne (IIS) firmy Microsoft. Ponowne uruchomienie usług IIS polega na ich zatrzymaniu, a następnie uruchomieniu, chyba że zostanie to zrobione przy użyciu jednego polecenia. Istnieją dwa sposoby ponownego uruchomienia usług IIS:
    • Użycie graficznego interfejsu użytkownika Menedżera usług IIS.
    • Użycie narzędzia wiersza polecenia IISReset.
  • Jeśli na komputerze z programem Windows Server 2003 nie są w użyciu żadne inne usługi sieci Web, zakłócenie ich działania może być niepożądane. Aby ponownie uruchomić usługi UDDI, wykonaj następujące kroki:
    1. Uruchom narzędzie Menedżer usług IIS.
    2. Zlokalizuj folder Pule aplikacji, a następnie kliknij prawym przyciskiem myszy ikonę MSUDDIAppPool.
    3. Kliknij opcję menu Odtwórz, aby ją zaznaczyć. W ten sposób usługi UDDI wznowią działanie, nie wpływając na inne usługi sieci Web uruchomione na komputerze.
Komunikat o błędzie podczas łączenia się z komputerem z systemem Microsoft Windows NT 4.0 za pomocą nazwanych potoków
Jeżeli próba połączenia się z komputerem z systemem Windows NT 4.0, na którym jest uruchomiony program Microsoft SQL Server 2000, przy użyciu potoków nazwanych jest przeprowadzana przez użytkownika innego niż administrator, może zostać wyświetlony komunikat o błędzie podobny do jednego z następujących:
Komunikat 1
Nie można ustanowić połączenia. Program SQL Server nie istnieje
Komunikat 2
Nie można ustanowić połączenia. Odmowa dostępu.
Aby uzyskać poprawkę rozwiązującą ten problem, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
823492 Komunikat o błędzie „Nie można ustanowić połączenia” podczas łączenia się z komputerem z systemem Windows NT 4.0, na którym jest uruchomiony program SQL Server 2000 lub SQL Server 7.0

Program SQL Server 2000 64-bitowy

821280 MS03-031: Poprawka zabezpieczeń dla 64-bitowego programu SQL Server 2000

Program SQL Server 7.0 z dodatkiem Service Pack 4 (SP4) lub program Microsoft Data Engine 1.0 z dodatkiem Service Pack 4 (SP4)

821279 MS03-031: Poprawka zabezpieczeń dla programu SQL Server 7.0 z dodatkiem Service Pack 4

Ważne informacje

Przeczytaj niniejsze ważne informacje dotyczące instalacji tej poprawki zabezpieczeń na komputerze, na którym jest uruchomiony program SQL Server 7.0 z dodatkiem Service Pack 4 (SP4).
Komunikat o błędzie podczas łączenia się z komputerem z systemem Microsoft Windows NT 4.0 za pomocą nazwanych potoków
Jeżeli próba połączenia się z komputerem z systemem Windows NT 4.0, na którym jest uruchomiony program Microsoft SQL Server 2000, przy użyciu potoków nazwanych jest przeprowadzana przez użytkownika innego niż administrator, może zostać wyświetlony komunikat o błędzie podobny do jednego z następujących:
Komunikat 1
Nie można ustanowić połączenia. Program SQL Server nie istnieje
Komunikat 2
Nie można ustanowić połączenia. Odmowa dostępu.
Aby uzyskać poprawkę rozwiązującą ten problem, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
823492 Komunikat o błędzie „Nie można ustanowić połączenia” podczas łączenia się z komputerem z systemem Windows NT 4.0, na którym jest uruchomiony program SQL Server 2000 lub SQL Server 7.0

Właściwości

Numer ID artykułu: 815495 - Ostatnia weryfikacja: 7 lipca 2006 - Weryfikacja: 2.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Słowa kluczowe: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com