MS03-031: โปรแกรมปรับปรุงการรักษาความปลอดภัยที่สะสมสำหรับ SQL Server

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 815495 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

Microsoft ออกโปรแกรมปรับปรุงการรักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ในผลิตภัณฑ์ต่าง ๆ ต่อไปนี้:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 เดสก์ท็อปที่ Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64 บิต
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • ข้อมูลของ Microsoft โปรแกรม 1.0 Service Pack 4 (SP4)
นี่คือรายการของช่องโหว่ที่แก้ไขได้ในโปรแกรมปรับปรุงการรักษาความปลอดภัยนี้:
  • hijacking ไปป์ที่มีชื่อ
    เมื่อเริ่มต้นใน SQL Server มันสร้างแล้ว รอในไปป์ที่มีชื่อเฉพาะการเชื่อมต่อขาเข้าไปยังเซิร์ฟเวอร์ ไปป์ที่มีชื่อจะมีชื่อโดยเฉพาะอย่างยิ่งเดียว(one-way) หรือแบบสองทิศทางสถานีสำหรับการสื่อสารระหว่างเซิร์ฟเวอร์ไปป์และไคลเอนต์ไปป์อย่าง น้อยหนึ่งรายการ sql Server ตรวจสอบไปป์ที่มีชื่อในการตรวจสอบสิ่งที่เชื่อมต่อที่สามารถเข้าสู่ระบบที่ใช้ SQL Server เพื่อรันการสอบถามกับข้อมูลที่เก็บอยู่บนเซิร์ฟเวอร์

    ปัญหามีอยู่ในวิธี checking สำหรับไปป์ที่มีชื่อที่อาจทำให้ผู้โจมตีที่เป็นการภายในระบบที่ใช้ SQL Server hijack (เข้าควบคุม) ไปป์ที่มีชื่อเมื่อไคลเอ็นต์อื่นใช้รหัสผ่านการเข้าสู่ระบบ authenticated เพื่อเข้าสู่ระบบ วิธีนี้จะช่วยให้ผู้โจมตีจะได้รับการควบคุมของไปป์ที่มีชื่อที่ระดับเดียวกันกับสิทธิ์ในฐานะผู้ใช้ที่พยายามที่จะเชื่อมต่อ ถ้าผู้ใช้ที่พยายามที่จะเชื่อมต่อจากระยะไกลมีความสูงระดับสิทธิ์จากผู้โจมตีจะไม่ ผู้โจมตีจะสมมติสิทธิ์เหล่านั้นเมื่อมีโจมตีไปป์ที่มีชื่อ
  • ปฏิเสธไปป์ที่มีชื่อของบริการ
    ในเดียวกันกับชื่อ pipes สถานการณ์ที่กล่าวไว้ในส่วน "ไปป์ Pipe Hijacking" ของบทความนี้ ผู้ใช้ unauthenticated ที่อยู่ภายในกับอินทราเน็ตอาจจะต้องส่งแพ็คเก็ตที่มีขนาดใหญ่มากในการระบุชื่อไปป์ที่ฟังระบบที่ใช้ SQL Server และทำให้ข้อมูลนั้นจะไม่ตอบสนอง

    ช่องโหว่นี้ไม่อนุญาตให้ผู้โจมตีจะเรียกใช้รหัสที่โปรแกรม หรือระดับสิทธิ์ของตน อย่างไรก็ตาม ปฏิเสธของเงื่อนไขบริการอาจยังคงอยู่ที่กำหนดให้คุณต้องการเริ่มต้นเซิร์ฟเวอร์จะคืนค่าฟังก์ชันการทำงานใหม่
  • overrun บัฟเฟอร์ของ sql Server
    ปัญหามีอยู่ในฟังก์ชัน Windows เฉพาะที่อาจทำให้เกิดการเรียกใช้การ authenticated ผู้มีสิทธิ์เข้าถึงโดยตรงในการเข้าสู่ระบบใช้ SQL Server ความสามารถในการสร้างแพคเก็ต crafted พิเศษ เมื่อนั้นส่งการเรียกขั้นตอนภายในเครื่องฟังพอร์ต (LPC) ของระบบ อาจทำให้เกิด overrun บัฟเฟอร์การได้ ถ้าติดเสร็จเรียบร้อยแล้ว ซึ่งสามารถช่วยให้ผู้ใช้ที่มีจำกัดสิทธิ์ในระบบไปยังระดับสิทธิ์เหล่านั้นไปยังระดับของบัญชีบริการ SQL Server หรือทำให้รหัสที่โปรแกรมจะเรียกใช้

ข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่เหล่านี้และวิธีการขอรับโปรแกรมแก้ไข เลือกบทความฐานความรู้ของ Microsoft ที่ตรงกับรุ่นของ SQL Server จากรายการต่อไปนี้

บริการ 2000 Server SQL Pack 3 (SP3) หรือ Microsoft SQL Server 2000 เดสก์ท็อปที่ Engine (MSDE) Service Pack 3 (SP3)

821277MS03-031: โปรแกรมปรับปรุงการรักษาความปลอดภัยสำหรับ SQL Server 2000 Service Pack 3

หมายเหตุที่สำคัญ

อ่านหมายเหตุสำคัญเหล่านี้ที่เกี่ยวกับการติดตั้งโปรแกรมปรับปรุงความปลอดภัยนี้ในคอมพิวเตอร์ที่กำลังเรียกใช้ SP3 2000 เซิร์ฟเวอร์ SQL
คำอธิบายที่หลากหลาย ค้นหา และบริการการรวม (UDDI)
ถ้าคุณติดตั้งโปรแกรมปรับปรุงการรักษาความปลอดภัยนี้ในคอมพิวเตอร์ที่ใช้ Microsoft Windows Server 2003 และมีการติดตั้งบริการ UDDI คุณต้องจัดทำการดำเนินการที่สองเพื่อเริ่มต้นบริการ UDDI ขึ้นอยู่กับสถานการณ์ของคุณอย่างใดอย่างหนึ่ง บริการ UDDI จะไม่ต่อทำงานปกติจนกว่าคุณดำเนินการ
  • ถ้าไม่มีบริการเว็บอื่นใช้อยู่บนคอมพิวเตอร์ที่ใช้ Windows Server 2003 คุณสามารถเริ่มต้นบริการ UDDI ได้ ด้วยการเริ่มระบบใหม่บริการข้อมูลทางอินเทอร์เน็ตของ Microsoft (IIS) สตาร์ IIS จะเหมือนก่อน ทำการหยุด IIS แล้ว เริ่มโปรแกรมอีกครั้ง การยกเว้นที่ทำกับคำสั่งเดียวกัน มีสองวิธีในการเริ่มต้น IIS:
    • ใช้อินเทอร์เฟซสำหรับผู้ใช้ที่เป็นรูปภาพของโปรแกรมจัดการ IIS
    • ใช้โปรแกรมอรรถประโยชน์บรรทัดคำสั่ง IISReset
  • If other Web services are in use on the computer that is running Windows Server 2003, you may not want to affect their operation. To restart the UDDI Services, follow these steps:
    1. Start the IIS Manager utility.
    2. ค้นหานี้กลุ่มแอพลิเคชันfolder, and then right-click theMSUDDIAppPoolไอคอน
    3. คลิกเพื่อเลือกนั้นRecyclemenu option. Doing so will allow UDDI Services to resume operation without affecting any other Web service on the computer.
An error message occurs when you connect to a Microsoft Windows NT 4.0-based computer by using named pipes
When you connect to a Windows NT 4.0-based computer that is running Microsoft SQL Server 2000 by using named pipes, and that connection is made by a non-admin user, you may receive an error message that resembles one of the following:
ข้อความที่ 1
Connection could not be established. SQL Server does not exist
ข้อความ 2
ไม่สามารถสร้างการเชื่อมต่อ Access is denied.
To obtain a hotfix to resolve this error message, see the following article in the Microsoft Knowledge Base:
823492"Connection could not be established" error message when you connect to a Windows NT 4.0-based computer that is running SQL Server 2000 or SQL Server 7.0

SQL Server 2000 64-bit

821280MS03-031: Security patch for SQL Server 2000 64-bit

SQL Server 7.0 Service Pack 4 (SP4) or Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279MS03-031: Security patch for SQL Server 7.0 Service Pack 4

หมายเหตุที่สำคัญ

Read these important notes about the installation of this security patch on a computer that is running SQL Server 7.0 Service Pack 4 (SP4).
An error message occurs when you connect to a Microsoft Windows NT 4.0-based computer by using named pipes
When you connect to a Windows NT 4.0-based computer that is running Microsoft SQL Server 2000 by using named pipes, and that connection is made by a non-admin user, you may receive an error message that resembles one of the following:
ข้อความที่ 1
Connection could not be established. SQL Server does not exist
ข้อความ 2
ไม่สามารถสร้างการเชื่อมต่อ Access is denied.
To obtain a hotfix to resolve this error message, see the following article in the Microsoft Knowledge Base:
823492"Connection could not be established" error message when you connect to a Windows NT 4.0-based computer that is running SQL Server 2000 or SQL Server 7.0

คุณสมบัติ

หมายเลขบทความ (Article ID): 815495 - รีวิวครั้งสุดท้าย: 14 มกราคม 2554 - Revision: 4.0
ใช้กับ
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
Keywords: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug kbmt KB815495 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:815495

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com