MS03-031: Sicherheitspatch für SQL Server 2000 Service Pack 3

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 821277 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
821277 MS03-031: Security patch for SQL Server 2000 Service Pack 3
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Microsoft stellt Sicherheitsupdates für SQL Server 2000 als downloadbare Datei zur Verfügung. Da diese Sicherheitsupdates kumulativ sind, enthält jede neue Version dieses Updates alle zuvor für Microsoft SQL Server 2000 zur Verfügung gestellten Hotfixes und Sicherheitsupdates. Es ist nicht notwendig, vor der Installation des neuesten Updates einen vorausgegangenen Sicherheitspatch zu installieren.

Weitere Informationen zum neuesten Service Pack für Microsoft SQL Server 2000 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
290211 INFO: So erhalten Sie das neueste Service Pack für SQL Server 2000

Einführung

Dieser Microsoft Knowledge Base-Artikel enthält eine Liste aller Sicherheitsupdates, die für SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) und SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a) verfügbar sind.

Wichtige Hinweise

  • Dieses kumulative Update enthält nicht die Sicherheitsupdates, die in Microsoft Data Access Components (MDAC) und Analysis Services enthalten sind.

Informationen zu den Sicherheitsanfälligkeiten, die durch diesen Sicherheitspatch behoben werden, entnehmen Sie der folgenden Liste:
  • Named Pipe-Besetzung
    Wenn SQL Server gestartet wird, erstellt das Programm eine spezifische Named Pipe und überwacht diese dann auf eingehende Verbindungen zu dem Server. Eine Named Pipe ist ein spezifisch benannter Einweg- oder Zweiwegkanal für die Kommunikation zwischen einem Named Pipe-Server und einem oder mehreren Named Pipe-Clients. SQL Server überprüft die Named Pipe, um festzustellen, welche Verbindungen sich bei dem System anmelden können, auf dem SQL Server ausgeführt wird, um dort Abfragen in Bezug auf Daten auszuführen, die auf dem Server gespeichert sind.

    Die Methode zur Prüfung der Named Pipe weist einen Fehler auf, der es einem Angreifer, der ein lokaler Benutzer des Systems ist, auf dem SQL Server ausgeführt wird, ermöglichen könnte, die Kontrolle über die Named Pipe zu übernehmen, wenn sich ein anderer Client mit einem authentifizierten Anmeldekennwort anmeldet. Auf diesem Wege könnte der Angreifer die Kontrolle über die Named Pipe mit den Berechtigungen übernehmen, über die der Benutzer verfügt, der die Verbindung herzustellen versucht. Verfügt der Benutzer, der die Remoteverbindung herzustellen versucht, über umfangreichere Berechtigungen als der potenzielle Angreifer, kann der Angreifer die Named Pipe mit diesen höheren Berechtigungen kontrollieren.
  • Denial of Service-Angriff auf die Named Pipe
    In dem gleichen Szenario, das im vorstehenden Abschnitt "Named Pipe-Besetzung" geschildert wird, könnte ein nicht authentifizierter Benutzer, bei dem es sich um einen lokalen Benutzer des betreffenden Intranets handelt, ein sehr umfangreiches Datenpaket an eine bestimmte Named Pipe senden, die durch das SQL Server-System abgehört wird, und diese dadurch so blockieren, dass sie nicht mehr reagiert.

    Bei dieser Anfälligkeit hat der Angreifer nicht die Möglichkeit, einen Code seiner Wahl ausführen zu lassen oder sich höhere Berechtigungen zu erschleichen; ein Dienstverweigerungsangriff (Denial of Service) wäre jedoch möglich, der es erforderlich machen würde, den Server neu zu starten, um dessen Funktionalität wiederherzustellen.
  • SQL Server-Pufferüberlauf
    In einer bestimmten Windows-Funktion gibt es einen Fehler, der einem authentifizierten Benutzer, der sich direkt bei dem System anmelden kann, auf dem SQL Server ausgeführt wird, die Möglichkeit eröffnen könnte, ein in spezieller Weise gestaltetes Paket an den LPC-Port des Systems zu senden (LPC =Local Procedure Call, Lokaler Prozeduraufruf), das einen Pufferüberlauf verursachen kann. Durch eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit kann sich ein Benutzer mit eingeschränkten Berechtigungen die Berechtigungen erschleichen, die für das SQL Server-Dienstkonto gelten, oder einen in böswilliger Absicht verfassten Code seiner Wahl ausführen lassen.

SQL Server fordert Sie nach der Installation des kumulativen Sicherheitspatches für SQL Server (MS03-031) zur Eingabe eines Kennworts auf

Wenn Sie nach der Installation des kumulativen Sicherheitspatches (MS03-031) für SQL Server mithilfe von Enterprise Manager Änderungen an einem standardmäßigen SQL Server-Benutzernamen vornehmen, fordert Sie SQL Server zur Eingabe eines Kennworts auf, selbst wenn Sie das Kennwort nicht geändert haben. Wenn Sie das Kennwort nicht geändert haben, können Sie das Dialogfeld nicht schließen. Dies gilt unabhängig von dem von Ihnen verwendeten Eintrag. Downloaden und installieren Sie das im folgenden Microsoft Knowledge Base-Artikel beschriebene Update, um dieses Problem zu beheben oder zu umgehen:
826161 Update: Nach der Änderung eines standardmäßigen SQL Server-Benutzernamens werden Sie aufgefordert, das Kennwort zu bestätigen

Weitere Informationen

Wichtige Hinweise

Lesen Sie die folgenden wichtigen Hinweise zur Installation dieses Sicherheitspatches auf einem Computer, auf dem SQL Server 2000 SP3 ausgeführt wird.

UDDI-Dienste

Wenn Sie diesen Sicherheitspatch auf einem Computer installieren, auf dem Microsoft Windows Server 2003 ausgeführt wird und auf dem die UDDI-Dienste (UDDI = Universal Description, Discovery, and Integration) installiert sind, müssen Sie in Abhängigkeit von den jeweiligen Umständen eine von zwei Aktionen ausführen, um die UDDI-Dienste neu zu starten. Die normale Funktion der UDDI-Dienste wird erst durch einen Neustart wiederhergestellt.
  • Falls auf dem Computer, auf dem Windows Server 2003 ausgeführt wird, kein anderer Webdienst verwendet wird, können Sie die UDDI-Dienste neu starten, indem Sie Microsoft Internet Information Services (IIS) neu starten. Ein Neustart von IIS ist das Gleiche wie ein Anhalten und ein anschließender Neustart von IIS, es ist dazu jedoch nur ein einziger Befehl erforderlich. Es gibt zwei Möglichkeiten, IIS neu zu starten:
    • Verwenden Sie die grafische Benutzeroberfläche des IIS-Managers.
    • Verwenden Sie das Befehlszeilenprogramm "IISReset".
  • Falls auf dem Computer, auf dem Windows Server 2003 ausgeführt wird, auch andere Webdienste verwendet werden, sollten Sie deren Betrieb nicht beeinträchtigen. Gehen Sie folgendermaßen vor, um die UDDI-Dienste neu zu starten:
    1. Starten Sie den IIS-Manager.
    2. Wechseln Sie in den Ordner Anwendungspools, und klicken Sie anschließend mit der rechten Maustaste auf das Symbol MSUDDIAppPool.
    3. Klicken Sie auf die Menüoption Wieder verwenden. So können die UDDI-Dienste wieder aktiviert werden, ohne dass dies Auswirkungen auf andere Webdienste auf dem Computer hat.

Es wird eine Fehlermeldung angezeigt, wenn Sie unter Verwendung von Named Pipes eine Verbindung zu einem Microsoft Windows NT 4.0-Computer herstellen

Wenn ein Benutzer, der kein Administrator ist, unter Verwendung von Named Pipes eine Verbindung zu einem Windows NT 4.0-Computer herstellt, auf dem Microsoft SQL Server 2000 ausgeführt wird, wird eventuell eine Fehlermeldung wie die folgende angezeigt:

Fehlermeldung 1
Die Verbindung konnte nicht hergestellt werden. SQL Server ist nicht vorhanden.
Fehlermeldung 2
Die Verbindung konnte nicht hergestellt werden. Zugriff verweigert.
Informationen zu einem Hotfix zur Problembehandlung bei dieser Fehlermeldung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
823492 Fehlermeldung "Die Verbindung konnte nicht hergestellt werden" beim Aufbau einer Verbindung zu einem Windows NT 4.0-Computer, auf dem SQL Server 2000 oder SQL Server 7.0 ausgeführt wird

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:

http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Datum der Freigabe: 23. Juli 2003

Weitere Informationen über das Downloaden von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Voraussetzungen

Dieser Sicherheitspatch erfordert SQL Server 2000 Service Pack 3 (SP3) oder Service Pack 3a (SP3a). Microsoft empfiehlt die Installation von Service Pack 3a für SQL Server 2000.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
290211 So erhalten Sie das neueste Service Pack für SQL Server 2000
Hinweis: Falls Sie den Sicherheitspatch (MS03-031) noch nicht installiert haben, downloaden und installieren Sie die im folgenden Artikel der Microsoft Knowledge Base genannte Datei:
826161 Update: Nach der Änderung eines standardmäßigen SQL Server-Benutzernamens werden Sie aufgefordert, das Kennwort zu bestätigen

Informationen zur Installation

Dieser Sicherheitspatch unterstützt die folgenden Befehlszeilenoptionen:
Tabelle minimierenTabelle vergrößern
BefehlszeilenoptionBeschreibung
sDeaktiviert das Fortschrittsanzeige-Dialogfeld für die Selbstextrahierung. Muss vor der Befehlszeilenoption /a stehen.
/aDieser Parameter muss vor allen anderen Parametern (mit Ausnahme von /s) stehen, wenn Sie den Hotfix mithilfe der selbstextrahierenden EXE-Datei ausführen und Parameter für die unbeaufsichtigte Installation verwenden möchten. Dieser Parameter ist obligatorisch für die Ausführung des Installationsprogramms im unbeaufsichtigten Modus.
/qDiese Befehlszeilenoption veranlasst die Ausführung des Setupprogramms im unbeaufsichtigten Modus ohne Benutzeroberfläche.
INSTANCENAMEName der Instanz von SQL Server. Geben Sie den Namen wie folgt ein:

INSTANCENAME=NameIhrerInstanz
BLANKSAPWDGibt ein leeres sa-Kennwort bei der SQL-Authentifizierung an. Wenn Sie diesen Parameter auf Computern mit Microsoft Windows NT oder Microsoft Windows 2000 eingeben, wird die Standardanmeldung zur Windows-Authentifizierung übergangen und die Anmeldung wird mit einem leeren sa-Kennwort vorgenommen. Das korrekte Format für diesen Parameter ist BLANKSAPWD=1. Dieser Parameter wird nur bei unbeaufsichtigten Installationen erkannt.
SAPWDNicht leeres sa-Kennwort. Die Eingabe dieses Parameters muss im Format SAPWD=IhrSaKennwort erfolgen. Dieser Parameter übergeht die standardmäßige Windows-Authentifizierung auf Computern mit Windows NT oder Windows 2000 bzw. BLANKSAPWD (sofern eingegeben).
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
330391 SQL Server-Hotfixinstaller

Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Sicherheitspatch installiert haben, sofern Sie nicht vom Hotfix-Installationsprogramm hierzu aufgefordert werden.

Informationen zur Deinstallation

Die Deinstallation dieses Sicherheitspatches wird nur unterstützt, wenn Sie vor der Installation des Sicherheitspatches eine Sicherungskopie von bestimmten Katalogen erstellt haben. Weitere Informationen finden Sie im Abschnitt "Update entfernen oder Rollback durchführen" des folgenden Artikels in der Microsoft Knowledge Base:
330391 SQL Server-Hotfixinstaller

Sicherheitspatch-Informationen

Dieser Sicherheitspatch ersetzt keine anderen Sicherheitspatches für SQL Server 2000 Service Pack 3 (SP3).

Dateiinformationen

Die englische Version dieses Sicherheitspatches weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.
   Datum        Uhrzeit   Version         Größe         Dateiname
 ---------------------------------------------------------------------------- 
   31-May-2003  18:45  2000.80.818.0      78,400 bytes  Console.exe
   25-Jun-2003  01:01  2000.80.818.0      33,340 bytes  Dbmslpcn.dll
   25-Apr-2003  02:12                    786,432 bytes  Distmdl.ldf
   25-Apr-2003  02:12                  2,359,296 bytes  Distmdl.mdf
   30-Jan-2003  01:55                        180 bytes  Drop_repl_hotfix.sql
   07-Apr-2003  19:15  2000.80.801.0   1,557,052 bytes  Dtsui.dll
   24-Apr-2003  02:51                    747,927 bytes  Instdist.sql
   03-May-2003  01:56                      1,581 bytes  Inst_repl_hotfix.sql
   08-Feb-2003  06:40  2000.80.765.0      90,692 bytes  Msgprox.dll
   01-Apr-2003  02:07                      1,873 bytes  Odsole.sql
   07-May-2000  07:04                      1,873 bytes  Odsole.sql
   02-Apr-2003  21:48  2000.80.796.0      57,904 bytes  Osql.exe
   02-Apr-2003  23:15  2000.80.797.0     279,104 bytes  Pfutil80.dll
   04-Apr-2003  21:27                  1,083,467 bytes  Replmerg.sql
   04-Apr-2003  21:53  2000.80.798.0     221,768 bytes  Replprov.dll
   08-Feb-2003  06:40  2000.80.765.0     307,784 bytes  Replrec.dll
   05-May-2003  00:05                  1,085,874 bytes  Replsys.sql
   31-May-2003  01:01  2000.80.818.0     492,096 bytes  Semobj.dll
   31-May-2003  18:27  2000.80.818.0     172,032 bytes  Semobj.rll
   29-May-2003  00:29                    115,944 bytes  Sp3_serv_uni.sql
   01-Jun-2003  01:01  2000.80.818.0   4,215,360 bytes  Sqldmo.dll
   07-Apr-2003  17:44                     25,172 bytes  Sqldumper.exe
   19-Mar-2003  18:20  2000.80.789.0      28,672 bytes  Sqlevn70.rll
   24-Apr-2003  05:39  2000.80.811.0     176,696 bytes  Sqlmap70.dll
   08-Feb-2003  06:40  2000.80.765.0      57,920 bytes  Sqlrepss.dll
   01-Jun-2003  01:02  2000.80.818.0   7,544,916 bytes  Sqlservr.exe
   01-Jun-2003  01:02                 12,739,584 bytes  Sqlservr.pdb
   08-Feb-2003  06:40  2000.80.765.0      45,644 bytes  Sqlvdi.dll
   25-Jun-2003  01:01  2000.80.818.0      33,340 bytes  Ssmslpcn.dll
   01-Jun-2003  01:01  2000.80.818.0      82,492 bytes  Ssnetlib.dll
   01-Jun-2003  01:01  2000.80.818.0      25,148 bytes  Ssnmpn70.dll
   01-Jun-2003  01:01  2000.80.818.0     158,240 bytes  Svrnetcn.dll
   31-May-2003  18:59  2000.80.818.0      76,416 bytes  Svrnetcn.exe
   30-Apr-2003  23:52  2000.80.816.0      45,132 bytes  Ums.dll
   30-Apr-2003  23:52                    132,096 bytes  Ums.pdb
   28-Feb-2003  01:34  2000.80.778.0      98,872 bytes  Xpweb70.dll

Ermitteln der Produktversion

Mithilfe der Informationen im folgenden Artikel der Microsoft Knowledge Base können Sie ermitteln, welche Version von SQL Server Sie verwenden:
321185 Ermitteln der SQL Server-Edition und Service Pack-Version
Führen Sie nach der Installation des Sicherheitspatches einen der folgenden Codes aus:
SELECT serverproperty('productversion') 

SELECT @@Version
Die Ausgabe sollte wie folgt aussehen:
8.00.818

Informationsquellen

Weitere Informationen zu diesem Sicherheitspatch finden Sie in folgendem Microsoft Security Bulletin:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms03-031.mspx
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
824684 Erläuterung von Standardbegriffen bei Microsoft Software Updates

Eigenschaften

Artikel-ID: 821277 - Geändert am: Montag, 23. Januar 2006 - Version: 7.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Keywords: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com