MS03-031: Oprava zabezpečení pro SQL Server 2000 Service Pack 3

Překlady článku Překlady článku
ID článku: 821277 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Společnost Microsoft distribuuje opravy zabezpečení serveru SQL Server 2000 ve formě jednoho souboru ke stažení. Opravy zabezpečení jsou kumulativní a každá nová verze tedy obsahuje všechny opravy Hotfix a opravy zabezpečení, které byly součástí předchozích verzí oprav zabezpečení pro SQL Server 2000. Před instalací nejnovější opravy zabezpečení není nutné instalovat žádnou předchozí opravu.

Další informace o nejnovější aktualizaci Service Pack pro Microsoft SQL Server 2000 naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
290211 Jak získat nejnovější aktualizaci Service Pack pro SQL Server 2000

ÚVOD

Tento článek databáze Microsoft Knowledge Base obsahuje seznam všech oprav zabezpečení, které jsou k dispozici pro SQL Server 2000 s aktualizací Service Pack 3 (SP3), SQL Server 2000 s aktualizací Service Pack 3a (SP3a), modul SQL Server 2000 Desktop Engine (MSDE) s aktualizací Service Pack 3 (SP3) a modul SQL Server 2000 Desktop Engine (MSDE) s aktualizací Service Pack 3a (SP3a).

Důležité poznámky:

  • Tento kumulativní balíček neobsahuje opravy zabezpečení zahrnuté v součástech MDAC (Microsoft Data Access Components) a ve službě Analysis Services.

Tato oprava zabezpečení odstraňuje následující chyby:
  • Napadení pojmenovaného kanálu
    Po spuštění serveru SQL je vytvořen konkrétní pojmenovaný kanál, pomocí kterého server naslouchá příchozím připojením. Pojmenovaný kanál je přesně nazvaný jednosměrný nebo obousměrný kanál určený ke komunikaci mezi kanálovým serverem a jedním nebo více klientskými počítači. SQL Server zkontroluje pojmenovaný kanál a ověří, která připojení se mohou přihlašovat k systému, ve kterém je SQL Server spuštěn, a zadávat dotazy na data uložená na serveru.

    Metoda ověřování pojmenovaného kanálu obsahuje chybu, která může dovolit útočníkovi, pokud vlastní místní účet v systému, ve kterém je SQL Server spuštěn, napadnout tento pojmenovaný kanál (převzít nad ním kontrolu) v okamžiku, kdy se k němu přihlašuje jiný uživatel pomocí ověřeného přihlášení. To by útočníkovi umožnilo získat kontrolu nad pojmenovaným kanálem se stejnou úrovní oprávnění, jako má uživatel, který se připojuje. Pokud má uživatel, který se pokouší o vzdálený přístup, vyšší úroveň oprávnění než útočník, může útočník tato oprávnění převzít a pojmenovaný kanál ohrozit.
  • Odmítnutí služby pojmenovaného kanálu
    Pokud neověřený uživatel použije u pojmenovaného kanálu stejný scénář, jaký byl popsán v odstavci Napadení pojmenovaného kanálu v tomto článku, a pokud vlastní místní účet v síti intranet, může odeslat rozsáhlý paket na příslušný pojmenovaný kanál, na kterém SQL Server naslouchá, a způsobit tím, že server přestane odpovídat.

    Tato chyba nedovoluje útočníkovi spustit libovolný kód ani zvýšit úroveň oprávnění. Stav odmítnutí služby však může vynutit restartování serveru, aby došlo k plnému obnovení jeho funkcí.
  • Přetečení vyrovnávací paměti serveru SQL
    Určitá funkce systému Windows obsahuje chybu, která by mohla ověřenému uživateli s přímým přístupem k přihlášení do systému se serverem SQL Server umožnit sestavení speciálně vytvořeného paketu, který po odeslání na naslouchající port místního volání procedur (LPC) v systému může způsobit přetečení vyrovnávací paměti. Pokud by se chybu podařilo zneužít, mohl by uživatel s omezenými oprávněními k systému zvýšit svá oprávnění na úroveň účtu služby SQL Server nebo způsobit spuštění libovolného kódu.

Po instalaci kumulativní opravy MS03-031 pro SQL Server vyzve SQL Server k zadání hesla

Pokud nainstalujete kumulativní opravu zabezpečení MS03-031 a pomocí nástroje Enterprise Manager změníte standardní přihlašovací jméno k serveru SQL, zobrazí SQL Server výzvu k zadání hesla, a to i v případě, že jste heslo nezměnili. Jestliže jste heslo nezměnili, nebude možné toto dialogové okno zavřít, a to bez ohledu na to, jaké heslo zadáte. Chcete-li tento problém vyřešit nebo zabránit jeho vzniku, stáhněte si a nainstalujte opravu z následujícího článku v databázi Microsoft Knowledge Base:
826161 OPRAVA: Po změně standardního přihlašovacího jména k serveru SQL se zobrazí výzva k potvrzení hesla (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Další informace

Důležité poznámky

Přečtěte si následující důležité poznámky týkající se instalace této opravy do počítače se serverem SQL Server 2000 SP3:

Služba UDDI (Universal Description, Discovery, and Integration)

Pokud nainstalujete tuto opravu zabezpečení do počítače se systémem Microsoft Windows Server 2003 a nainstalovanou službou UDDI, je třeba restartovat službu UDDI provedením jedné z následujících dvou akcí (v závislosti na konfiguraci). Dokud tak neučiníte, nebude služba UDDI správně fungovat.
  • Pokud není v počítači se systémem Windows Server 2003 používána žádná jiná webová služba, můžete restartovat službu UDDI restartováním Internetové informační služby (IIS). Restartování služby IIS odpovídá zastavení a opětovnému spuštění této služby, je však provedeno jedním příkazem. Službu IIS lze restartovat dvěma způsoby:
    • pomocí grafického uživatelského rozhraní Správce služby IIS,
    • pomocí nástroje příkazového řádku IISReset.
  • Pokud v počítači se systémem Windows Server 2003 používáte další webové služby, nebudete pravděpodobně chtít ovlivnit jejich činnost. Službu UDDI restartujete následujícím způsobem:
    1. Spusťte nástroj Správce služby IIS.
    2. Vyhledejte složku Fondy aplikací a pravým tlačítkem myši klepněte na ikonu MSUDDIAppPool.
    3. V místní nabídce klepněte na příkaz Recyklovat. Činnost služby UDDI tím bude obnovena, nedojde ale k ovlivnění dalších webových služeb v počítači.

Po připojení k počítači se systémem Microsoft Windows NT 4.0 pomocí pojmenovaných kanálů se zobrazí chybová zpráva

Pokud se připojíte k počítači se systémem Windows NT 4.0 a serverem Microsoft SQL Server 2000 pomocí pojmenovaných kanálů a s jiným účtem, než je účet správce, může se zobrazit chybová zpráva podobná některé z následujících zpráv:

Zpráva 1
Připojení nelze vytvořit. SQL Server neexistuje.
Zpráva 2
Připojení nelze vytvořit. Přístup byl odepřen.
Informace o získání opravy Hotfix, která řeší tuto chybovou zprávu, naleznete v následujícím článku databáze Microsoft Knowledge Base:
823492 Při připojení k počítači se systémem Windows NT 4.0 a serverem SQL Server 2000 nebo SQL Server 7.0 se zobrazí chybová zpráva Připojení nelze vytvořit (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Informace o souborech ke stažení

Ve službě Stažení softwaru je k dispozici ke stažení následující soubor:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Datum vydání: 23. července 2003

Další informace o tom, jak stahovat soubory odborné pomoci společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online
Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Po publikování je soubor uložen na zabezpečených serverech neumožňujících neoprávněné změny souborů.

Požadavky

Tato oprava zabezpečení vyžaduje SQL Server 2000 s aktualizací Service Pack 3 (SP3) nebo Service Pack 3a (SP3a). Společnost Microsoft doporučuje SQL Server 2000 s aktualizací Service Pack 3a.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
290211 Jak získat nejnovější aktualizaci Service Pack pro SQL Server 2000
Poznámka: Pokud jste nenainstalovali opravu zabezpečení z bulletinu zabezpečení MS03-031, stáhněte si a použijte soubor dostupný prostřednictvím následujícího článku znalostní báze Microsoft Knowledge Base:
826161 OPRAVA: Po změně standardního přihlašovacího jména k serveru SQL se zobrazí výzva k potvrzení hesla (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Informace o instalaci

Tato oprava zabezpečení podporuje následující instalační přepínače:
Zmenšit tuto tabulkuRozšířit tuto tabulku
PřepínačPopis
sZakáže zobrazení dialogového okna s průběhem procesu Self Extraction (Automatická extrakce). Musí předcházet přepínači /a.
/aPokud spouštíte opravu hotfix pomocí automaticky extrahovaného souboru EXE a chcete zahrnout parametry pro bezobslužnou instalaci, musí být tento parametr zadán před všemi jinými parametry kromě přepínače /s. Chcete-li instalační program spustit v bezobslužném režimu, jedná se o povinný parametr.
/qTento přepínač spustí instalační program v tichém režimu bez zobrazení uživatelského rozhraní.
INSTANCENAMENázev instance serveru SQL Server. Musí být zadán následujícím způsobem:

INSTANCENAME=název_instance
BLANKSAPWDUrčuje prázdnou hodnotu hesla sa pro ověřování SQL. Zadáte-li tento parametr v počítačích se systémem Microsoft Windows NT nebo Microsoft Windows 2000, nebude použito výchozí ověřování systému Windows a proběhne pokus o přihlášení pomocí prázdného hesla sa. Správný formát tohoto parametru je BLANKSAPWD=1. Tento parametr je podporován pouze při bezobslužné instalaci.
SAPWDNeprázdné heslo sa. Tento parametr je nutné zadat ve formátu SAPWD=požadované_heslo. Tento parametr přepíše výchozí ověřování systému Windows v počítačích se systémem Windows NT nebo Windows 2000, nebo s parametrem BLANKSAPWD, je-li zadán.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
330391 Nástroj pro instalaci opravy hotfix serveru SQL Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Požadavek na restartování

Pokud instalační program opravy hotfix nezobrazí výzvu k restartování, není po instalaci této opravy zabezpečení nutné restartovat počítač.

Informace o odinstalaci

Odinstalace této opravy není podporována, pokud nebyly před instalací opravy zabezpečení zálohovány určité katalogy. Další informace najdete v části How to Remove or Rollback the Hotfix (Odebrání této opravy Hotfix nebo vrácení zpět) v následujícím článku databáze Microsoft Knowledge Base:
330391 Nástroj pro instalaci opravy hotfix serveru SQL Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Informace o nahrazení oprav zabezpečení

Tato oprava zabezpečení nenahrazuje žádné jiné opravy zabezpečení pro SQL Server 2000 Service Pack 3 (SP3).

Informace o souborech

Anglická verze této opravy zabezpečení má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.
   Datum        Čas  Verze             Velikost     Název souboru ---------------------------------------------------------------------------- 31. května 2003  18:45  2000.80.818.0      78 400 bajtů Console.exe 25. června 2003  01:01  2000.80.818.0      33 340 bajtů  Dbmslpcn.dll 25. dubna 2003  02:12                    786 432 bajtů  Distmdl.ldf 25. dubna 2003  02:12                  2 359 296 bajtů Distmdl.mdf 30. ledna 2003  01:55                        180 bajtů  Drop_repl_hotfix.sql 7. dubna 2003  19:15  2000.80.801.0   1 557 052 bajtů  Dtsui.dll 24. dubna 2003  02:51                    747 927 bajtů  Instdist.sql 3. května 2003  01:56                      1 581 bajtů  Inst_repl_hotfix.sql 8. února 2003  06:40  2000.80.765.0      90 692 bajtů  Msgprox.dll 1. dubna 2003  02:07                      1 873 bajtů  Odsole.sql 7. května 2000  07:04                      1 873 bajtů  Odsole.sql 2. dubna 2003  21:48  2000.80.796.0      57 904 bajtů  Osql.exe 2. dubna 2003  23:15  2000.80.797.0     279 104 bajtů  Pfutil80.dll 4. dubna 2003  21:27                  1 083 467 bajtů Replmerg.sql 4. dubna 2003  21:53  2000.80.798.0     221 768 bajtů  Replprov.dll 8. února 2003  06:40  2000.80.765.0     307 784 bajtů  Replrec.dll 5. května 2003  00:05                  1 085 874 bajtů  Replsys.sql 31. května 2003  01:01  2000.80.818.0     492 096 bajtů  Semobj.dll 31. května 2003  18:27  2000.80.818.0     172 032 bajtů  Semobj.rll 29. května 2003  00:29                    115 944 bajtů  Sp3_serv_uni.sql 1. června 2003  01:01  2000.80.818.0   4 215 360 bajtů  Sqldmo.dll 7. dubna 2003  17:44                     25 172 bajtů  Sqldumper.exe 19. března 2003  18:20  2000.80.789.0      28 672 bajtů  Sqlevn70.rll 24. dubna 2003  05:39  2000.80.811.0     176 696 bajtů  Sqlmap70.dll 8. února 2003  06:40  2000.80.765.0      57 920 bajtů  Sqlrepss.dll 1. června 2003  01:02  2000.80.818.0   7 544 916 bajtů  Sqlservr.exe 1. června 2003  01:02                 12 739 584 bajtů Sqlservr.pdb 8. února 2003  06:40  2000.80.765.0      45 644 bajtů  Sqlvdi.dll 25. června 2003  01:01  2000.80.818.0      33 340 bajtů Ssmslpcn.dll 1. června 2003  01:01  2000.80.818.0      82 492 bajtů  Ssnetlib.dll 1. června 2003  01:01  2000.80.818.0      25 148 bajtů  Ssnmpn70.dll 1. června 2003  01:01  2000.80.818.0     158 240 bajtů  Svrnetcn.dll 31. května 2003  18:59  2000.80.818.0      76 416 bajtů  Svrnetcn.exe 30. dubna 2003  23:52  2000.80.816.0      45 132 bajtů  Ums.dll 30. dubna 2003  23:52                    132 096 bajtů  Ums.pdb 28. února 2003  01:34  2000.80.778.0      98 872 bajtů  Xpweb70.dll

Ověření

Chcete-li zjistit, jakou verzi serveru SQL používáte, postupujte podle informací v následujícím článku znalostní báze Microsoft Knowledge Base:
321185 Určení verze a vydání aktualizace Service Pack serveru SQL Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Po instalaci této opravy zabezpečení spusťte některý z následujících příkazů:
SELECT serverproperty('productversion') 

SELECT @@Version
Měla by být vrácena následující hodnota:
8.00.818

Odkazy

Další informace o této opravě zabezpečení naleznete v následujícím bulletinu zabezpečení společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Vlastnosti

ID článku: 821277 - Poslední aktualizace: 27. ledna 2006 - Revize: 7.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Klíčová slova: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com