MS03-031: Kumulativ säkerhetskorrigering för SQL Server

Artikelöversättning Artikelöversättning
Artikel-id: 815495 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Microsoft har släppt en säkerhetskorrigering för säkerhetsproblem i följande produkter:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000, 64-bitarsutgåva
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Följande säkerhetsproblem åtgärdas genom den här säkerhetskorrigeringen:
  • Kapning av en namngiven pipe
    När SQL Server startas skapar och lyssnar det på en viss namngiven pipe efter inkommande anslutningar till servern. En namngiven pipe är en särskilt namngiven en- eller tvåvägskanal för kommunikation mellan en pipe-server och en eller flera pipe-klienter. SQL Server kontrollerar denna namngivna pipe för att undersöka vilka anslutningar som kan logga in på datorn där SQL Server körs för att köra frågor mot data som är lagrade på servern.

    Det finns ett fel i kontrollmetoden för den namngiven pipen som gör att en lokal angripare på datorn där SQL Server körs kan få kontroll över den namngivna pipen när ett autentiserat inloggningslösenord används för inloggning från en annan klient. Detta kan medföra att angriparen tar kontroll över den namngivna pipen på samma behörighetsnivå som användaren som försöker ansluta. Om användaren som försöker ansluta från en annan dator har en högre behörighetsnivå än angriparen får angriparen den behörigheten när den namngivna pipen angrips.
  • DoS (Denial of Service) i en namngiven pipe
    I samma scenario som beskrivs i "Kapning av en namngiven pipe" ovan kan en oautentiserad användare inom intranätet skicka ett mycket stort paket till en viss namngiven pipe där datorn med SQL Server lyssnar, vilket medför att denna dator slutar svara.

    Detta säkerhetsproblem ger inte en angripare möjlighet att köra skadlig kod eller höja sin behörighet, men det kan medföra ett DoS-tillstånd (Denial of Service) som gör att servern måste startas om.
  • Buffertöverskridning i SQL Server
    Det finns ett fel i en viss Windows-funktion som kan ge en autentiserad användare med direkt inloggningsåtkomst på datorn med SQL Server möjlighet att skapa ett särskilt utformat paket, som när det skickas till datorns LPC-port (Local Procedure Call) kan medföra en buffertöverskridning. Felet kan göra att en användare med begränsad behörighet på datorn kan höja sin behörighet till SQL Server-tjänstkontots nivå eller köra skadlig kod.

Mer Information

Om du vill veta mer om de här säkerhetsproblemen och hur du skaffar korrigeringsfilerna väljer du en artikel i Microsoft Knowledge Base som svarar mot din SQL Server-version i följande lista.

SQL Server 2000 Service Pack 3 (SP3) eller Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: Säkerhetskorrigering för SQL Server 2000 Service Pack 3

Viktigt!

Läs följande viktiga information om installation av säkerhetskorrigeringen på en dator med SQL Server 2000 SP3.
UDDI-tjänster (Universal Description, Discovery and Integration)
Om du installerar den här säkerhetskorrigeringen på en dator med Microsoft Windows Server 2003 och UDDI-tjänster, måste du starta om UDDI-tjänster på ett av följande två sätt. UDDI-tjänster fungerar inte normalt igen förrän du gör detta.
  • Om ingen annan webbtjänst används på datorn med Windows Server 2003 kan du starta om UDDI-tjänsterna genom att starta om Microsoft Internet Information Services (IIS). Att starta om IIS är samma sak som att först stoppa IIS och sedan starta det igen, utom att det görs med ett enda kommando. Det finns två sätt att starta om IIS:
    • Med det grafiska användargränssnittet IIS Manager.
    • Med kommandoradsverktyget IISReset.
  • Om andra webbtjänster används på datorn med Windows Server 2003 vill du kanske inte störa dem. Så här startar du om UDDI-tjänsterna:
    1. Starta IIS Manager.
    2. Leta upp mappen Tillämpningspooler och högerklicka på ikonen MSUDDIAppPool.
    3. Markera menyalternativet Återvinn. På så vis kan UDDI-tjänster börja fungera igen utan att det påverkar andra webbtjänster på datorn.
Ett felmeddelande visas vid anslutning till en dator med Microsoft Windows NT 4.0 med hjälp av namngivna pipes
När en användare som inte är administratör ansluter till en dator med Windows NT 4.0 och Microsoft SQL Server 2000 med hjälp av namngivna pipes kan ett felmeddelande av följande slag visas:
Meddelande 1
Det gick inte att upprätta en anslutning. SQL Server finns inte.
Meddelande 2
Det gick inte att upprätta en anslutning. Åtkomst nekad.
Information om hur du skaffar en snabbkorrigering för det här felmeddelandet finns i följande artikel i Microsoft Knowledge Base:
823492 Felmeddelandet "Det gick inte att upprätta en anslutning" visas vid anslutning till en dator med Windows NT 4.0 och SQL Server 2000 eller SQL Server 7.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

SQL Server 2000, 64-bitarsutgåva

821280 MS03-031: Säkerhetskorrigering för SQL Server 2000 (64 bitar)

SQL Server 7.0 Service Pack 4 (SP4) eller Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Säkerhetskorrigering för SQL Server 7.0 Service Pack 4

Viktigt!

Läs följande viktiga information om installation av säkerhetskorrigeringen på en dator med SQL Server 7.0 Service Pack 4 (SP4).
Ett felmeddelande visas vid anslutning till en dator med Microsoft Windows NT 4.0 med hjälp av namngivna pipes
När en användare som inte är administratör ansluter till en dator med Windows NT 4.0 och Microsoft SQL Server 2000 med hjälp av namngivna pipes kan ett felmeddelande av följande slag visas:
Meddelande 1
Det gick inte att upprätta en anslutning. SQL Server finns inte.
Meddelande 2
Det gick inte att upprätta en anslutning. Åtkomst nekad.
Information om hur du skaffar en snabbkorrigering för det här felmeddelandet finns i följande artikel i Microsoft Knowledge Base:
823492 Felmeddelandet "Det gick inte att upprätta en anslutning" visas vid anslutning till en dator med Windows NT 4.0 och SQL Server 2000 eller SQL Server 7.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Egenskaper

Artikel-id: 815495 - Senaste granskning: den 3 juli 2006 - Revision: 2.2
Informationen i denna artikel gäller:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Nyckelord: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com