Makale numarası: 815495 - Son Gözden Geçirme: 04 Temmuz 2006 Salı - Gözden geçirme: 2.2

MS03-031: SQL Server için toplu güvenlik düzeltme eki

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

™zet

Microsoft aşağıdaki ürünlerde bulunan açıkları gidermek için bir güvenlik düzeltme eki yayımladı:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Bu güvenlik düzeltme ekinde giderilen güvenlik açıklarının listesi:
  • Adlandırılmış yöneltme ele geçirme
    SQL Server başladığında, sunucuya gelen bağlantılar için belirli bir adlandırılmış yöneltme oluşturur ve bunu dinler. Adlandırılmış yöneltme, bir yöneltme sunucusu ile bir veya daha fazla yöneltme istemcisi arasındaki iletişim için özel olarak adlandırılmış tek yönlü veya iki yönlü bir kanaldır. SQL Server, sunucuda depolanan verilerde sorgu çalıştırabilmek üzere bağlantıların SQL Server çalıştıran sisteme oturum açabildiğini doğrulamak için adlandırılmış yöneltmeleri denetler.

    Adlandırılmış yöneltmeleri denetleme yönteminde, SQL Server çalıştıran sistemde yerel olan saldırganın başka bir kullanıcı oturum açmak için kimlik doğrulaması uygulanmış parola kullanırken adlandırılmış yöneltmeyi ele geçirmesine (denetimi ele almasına) olanak tanıyabilecek bir hata vardır. Bu, saldırganın, bağlanmaya çalışan kullanıcıyla aynı izin düzeyinde adlandırılmış yöneltmenin denetimini ele geçirmesine olanak tanıyabilir. Uzaktan bağlanmaya çalışan kullanıcı saldırgandan daha yüksek izin düzeyine sahipse, adlandırılmış yöneltme güvenliği aşıldığında saldırgan bu hakları alır.
  • Adlandırılmış yöneltme hizmet reddi
    Bu makalenin "Adlandırılmış Yöneltme Ele Geçirme" bölümünde anılan adlandırılmış yöneltme durumunda, intranette yerel olan kimliği doğrulanmış kullanıcı SQL Server çalıştıran sistemin dinlediği belirli bir adlandırılmış yöneltmeye çok büyük boyda bir paket gönderebilir ve sistemin yanıt veremez duruma gelmesine neden olabilir.

    Bu açık saldırganın rasgele kod çalıştırmasına veya izinlerini yükseltmesine olanak tanımaz; ancak, hizmet reddi durumu hala sürebilir ve işlevselliğini yeniden kazanması için sunucuyu yeniden başlatmanız gerekebilir.
  • SQL Server arabellek taşması
    Belirli bir Windows işlevinde, SQL Server çalıştıran sisteme oturum açma için doğrudan erişimi olan kimliği doğrulanmış kullanıcının sistemin dinleyen yerel yordam çağrısı (LPC) bağlantı noktasına gönderildiğinde arabellek taşmasına neden olabilecek özel olarak biçimlendirilmiş paket oluşturma yeteneği sağlayabilecek bir hata var. Bu açık başarıyla kullanılırsa, sistemde sınırlı izinleri olan bir kullanıcının izinlerini SQL Server hizmet hesabı izin düzeyine yükseltmesine veya rasgele kod çalıştırmasına olanak tanıyabilir.
Üste

Daha fazla bilgi

Bu açıklar ve düzeltme eklerini edinme hakkında ek bilgi için, aşağıdaki listeden SQL Server sürümünüze karşılık gelen Microsoft Bilgi Bankası makalesini seçin.
Üste

SQL Server 2000 Service Pack 3 (SP3) veya Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277  (http://support.microsoft.com/kb/821277/ ) MS03-031: SQL Server 2000 Service Pack 3 için güvenlik düzeltme eki

Önemli notlar

Bu güvenlik düzeltme ekini SQL Server 2000 SP3 çalışan bir bilgisayara yükleme hakkında aşağıdaki önemli notları okuyun.
Evrensel Bulma, Açıklama ve Tümleştirme (UDDI) Hizmetleri
Bu güvenlik düzeltme ekini Microsoft Windows Server 2003 çalışan ve UDDI Hizmetleri yüklü olan bir bilgisayara yüklerseniz, içinde bulunduğunuz koşullara bağlı olarak UDDI Hizmetleri'ni yeniden başlatmak için iki eylemden birini gerçekleştirmeniz gerekir. Bunu yapana kadar UDDI Hizmetleri normal işlevine devam etmez.
  • Windows Server 2003 çalıştıran bilgisayarda başka bir Web hizmeti kullanılmıyorsa, Microsoft Internet Information Services'i (IIS) yeniden başlatarak UDDI Hizmetleri'ni yeniden başlatabilirsiniz. IIS'yi yeniden başlatmak, IIS'yi önce durdurmak ve sonra tekrar başlatmakla aynıdır, yalnızca tek bir komutla gerçekleştirilir. IIS'yi yeniden başlatmanın iki yolu vardır:
    • IIS Yöneticisi grafik kullanıcı arabirimini kullanarak.
    • IISReset komut satırı yardımcı programını kullanarak.
  • Windows Server 2003 çalışan bilgisayarda başka Web hizmetleri kullanılıyorsa, çalışmalarını etkilemek istemeyebilirsiniz. UDDI Hizmetleri'ni yeniden başlatmak için, aşağıdaki adımları izleyin:
    1. IIS Yöneticisi yardımcı programını başlatın.
    2. Application Pools (Uygulama Havuzları) klasörünü bulun, sonra MSUDDIAppPool simgesini sağ tıklatın.
    3. Recycle (Geri Dönüştür) menü seçeneğini seçmek için tıklatın. Böylece, bilgisayardaki diğer Web hizmetleri etkilenmeden UDDI Hizmetleri çalışmaya devam eder.
Adlandırılmış yöneltme kullanarak Microsoft Windows NT 4.0 tabanlı bilgisayara bağlandığınızda hata iletisi çıkıyor
Microsoft SQL Server 2000 çalışan Windows NT 4.0 tabanlı bilgisayara adlandırılmış yöneltmeler kullanarak bağlandığınızda ve bu bağlantı yönetici olmayan bir kullanıcı tarafından yapılmışsa, aşağıdakilerden birine benzer bir hata iletisi alabilirsiniz:
İleti 1
Bağlantı kurulamadı. SQL Server yok
İleti 2
Bağlantı kurulamadı. Erişim reddedildi.
Bu hata iletisini gidermek üzere bir düzeltme edinmek için Microsoft Bilgi Bankası'nda bulunan aşağıdaki makaleye bakın:
823492  (http://support.microsoft.com/kb/823492/ ) SQL Server 2000 veya SQL Server 7.0 çalışan Microsoft Windows NT 4.0 tabanlı bilgisayara bağlanırken "Bağlantı kurulamadı" hata iletisi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Üste

SQL Server 2000 64-bit

821280  (http://support.microsoft.com/kb/821280/ ) MS03-031: SQL Server 2000 64-Bit için Güvenlik Düzeltme Eki
Üste

SQL Server 7.0 Service Pack 4 (SP4) veya Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279  (http://support.microsoft.com/kb/821279/ ) MS03-031: SQL Server 7.0 Service Pack 4 için güvenlik düzeltme eki

Önemli notlar

Bu güvenlik düzeltme ekini SQL Server 7.0 Service Pack 4 (SP4) çalışan bir bilgisayara yükleme hakkında aşağıdaki önemli notları okuyun.
Adlandırılmış yöneltme kullanarak Microsoft Windows NT 4.0 tabanlı bilgisayara bağlandığınızda hata iletisi çıkıyor
Microsoft SQL Server 2000 çalışan Windows NT 4.0 tabanlı bilgisayara adlandırılmış yöneltmeler kullanarak bağlandığınızda ve bu bağlantı yönetici olmayan bir kullanıcı tarafından yapılmışsa, aşağıdakilerden birine benzer bir hata iletisi alabilirsiniz:
İleti 1
Bağlantı kurulamadı. SQL Server yok
İleti 2
Bağlantı kurulamadı. Erişim reddedildi.
Bu hata iletisini gidermek üzere bir düzeltme edinmek için Microsoft Bilgi Bankası'nda bulunan aşağıdaki makaleye bakın:
823492  (http://support.microsoft.com/kb/823492/ ) SQL Server 2000 veya SQL Server 7.0 çalışan Microsoft Windows NT 4.0 tabanlı bilgisayara bağlanırken "Bağlantı kurulamadı" hata iletisi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Üste
Anahtar Kelimeler: 
kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495
Üste