MS03-031: Sikkerhedsrettelse til SQL Server 2000 Service Pack 3

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 821277 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

Sammenfatning

Microsoft distribuerer sikkerhedsrettelser til SQL Server 2000 som én enkelt fil, der kan hentes. Da sikkerhedsrettelser er kumulative, indeholder alle nye udgivelser alle hotfixes og alle sikkerhedsrettelser, der var inkluderet i forrige udgivelse af sikkerhedsrettelser til SQL Server 2000. Det er ikke nødvendigt at installere en tidligere sikkerhedsrettelse, før du installerer den nyeste udgave.

Yderligere oplysninger om, hvordan du får den nyeste Service Pack til Microsoft SQL Server 2000, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
290211 Sådan får du den nyeste service pack til SQL Server 2000 (artiklen er evt. på engelsk)

INTRODUKTION

Denne artikel fra Microsoft Knowledge Base indeholder en liste over alle sikkerhedsrettelser, der er tilgængelige til SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) og SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Vigtige bemærkninger!

  • Denne kumulative pakke indeholder ikke sikkerhedsrettelserne, der findes i Microsoft Data Access Components (MDAC) og Analysis Services.

Denne liste indeholder en oversigt over de svagheder, der rettes med denne sikkerhedsrettelse:
  • Kapring af navngiven pipe
    Når SQL Server startes, oprettes der en specifik navngiven pipe, som programmet derefter lytter på for at registrere indgående forbindelser til serveren. En navngiven pipe er en specifikt navngivet envejs- eller tovejskanal til kommunikation mellem en pipe-server og en eller flere pipe-klienter. SQL Server bruger den navngivne pipe til at kontrollere, hvilke forbindelser der kan logge på systemet med SQL Server og køre forespørgsler i data, som er lagret på serveren.

    Der findes en fejl i den metode, som bruges til at kontrollere den navngivne pipe. Denne fejl kan give en angriber, der har lokaladgang til systemet med SQL Server, mulighed for at kapre (få kontrol over) den navngivne pipe, når en anden klient bruger en godkendt logonadgangskode. Herved bliver angriberen i stand til at kontrollere den navngivne pipe på det tilladelsesniveau, som er tildelt den bruger, der forsøger at oprette forbindelse. Hvis den bruger, der forsøger at oprette fjernforbindelse, har adgang til et højere niveau end angriberen, får angriberen disse rettigheder, når den navngivne pipe angribes.
  • Denial of Service for navngiven pipe
    I afsnittet "Kapring af navngiven pipe" i denne artikel beskrives en situation, hvor en ikke-godkendt bruger med lokaladgang til intranettet sender en meget stor pakke til en specifik navngiven pipe, som systemet med SQL Server lytter på, således at systemet holder op med at svare.

    Denne sikkerhedssvaghed giver ikke en eventuel angriber mulighed for at køre vilkårlig kode eller opnå et højere tilladelsesniveau. Der kan dog alligevel forekomme en Denial of Service-situation, hvor du er nødt til at genstarte serveren og gendanne funktionaliteten.
  • Bufferoverløb i SQL Server
    Der findes en fejl i en specifik Windows-funktion, som kan give en godkendt bruger med direkte adgang til at logge på det system, der kører SQL Server, mulighed for at oprette en særligt bedragerisk udformet pakke, som kan medføre bufferoverløb, når den sendes til systemets LPC-aflytningsport (Local Procedure Call). Hvis denne sikkerhedssvaghed udnyttes, kan en bruger med begrænsede systemtilladelser opnå tilladelser på SQL Server-tjenestekontoniveau eller køre vilkårlig kode.

SQL Server beder dig om at angive en adgangskode, når du har installeret MS03-031: Kumulativ sikkerhedsrettelse til SQL Server

Efter installation af MS03-031: Kumulativ sikkerhedsrettelse til SQL Server beder SQL Server dig om at angive en adgangskode, når du foretager ændringer i en standard SQL Server-logon via Enterprise Manager, også selvom du ikke ændrede adgangskoden. Hvis du ikke ændrede adgangskoden, kan du ikke lukke dialogboksen, uanset hvilken indtastning, du bruger. Problemet løses eller undgås ved at hente og anvende rettelsen fra følgende artikel i Microsoft Knowledge Base:
826161 Rettelse: Du bedes angive en adgangskodebekræftelse efter ændring af et standard SQL Server-logon (artiklen er evt. på engelsk)

Yderligere Information

Vigtige bemærkninger!

Læs disse vigtige bemærkninger om installationen af programrettelsen på en computer, der kører SQL Server 2000 SP3:

UDDI-tjenester (Universal Description, Discovery, and Integration)

Hvis du installerer denne sikkerhedsrettelse på en computer, der anvender Microsoft Windows Server 2003 og UDDI-tjenester, skal du alt efter forholdene udføre én eller to handlinger for at genstarte UDDI-tjenesterne. UDDI-tjenesterne fungerer ikke korrekt, før du har foretaget en genstart.
  • Hvis der ikke anvendes andre webtjenester på computeren med Windows Server 2003, kan du genstarte UDDI-tjenesterne ved at genstarte Microsofts Internet Information Services (IIS). Når du genstarter IIS, svarer det til, at du først stopper og derefter starter IIS igen, bortset fra at genstarten udføres med en enkelt kommando. IIS kan genstartes på to måder:
    • Brug den grafiske brugerflade i IIS Manager.
    • Brug kommandolinjefunktionen IISReset.
  • Hvis der anvendes andre webtjenester på computeren med Windows Server 2003, ønsker du muligvis at foretage en genstart, uden at disse tjenester påvirkes. Følg disse trin for at genstarte UDDI-tjenesterne:
    1. Start værktøjet IIS Manager.
    2. Find mappen Programgrupper, og højreklik på ikonet MSUDDIAppPool.
    3. Marker menupunktet Genbrug. På denne måde genaktiveres UDDI-tjenesterne, uden at de andre webtjenester på computeren påvirkes.

Der vises en fejlmeddelelse, når du opretter forbindelse til en Microsoft Windows NT 4.0-baseret computer ved hjælp af navngivne pipes.

Hvis du opretter forbindelse til en Windows NT 4.0-baseret computer, der kører Microsoft SQL Server 2000, ved hjælp af navngivne pipes, og hvis forbindelsen er oprettet af en bruger uden administratorrettigheder, modtager du muligvis en fejlmeddelelse, der ligner en af følgende meddelelser:

Meddelelse 1
Forbindelsen kunne ikke oprettes. SQL Server findes ikke
Meddelelse 2
Forbindelsen kunne ikke oprettes. Adgang nægtet.
Du kan få adgang til den programrettelse, der løser denne fejl, via følgende artikel i Microsoft Knowledge Base:
823492 Fejlmeddelelsen Der kunne ikke oprettes forbindelse vises, når du opretter forbindelse til en Windows NT 4.0-baseret computer, der kører SQL Server 2000 eller SQL Server 7.0 (artiklen er evt. på engelsk)

Oplysninger om overførsel

Følgende fil kan hentes fra Microsoft Download Center:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Udgivelsesdato: 23. juli 2003

Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
Microsoft har scannet denne fil for virus. Microsoft har anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.

Forudsætninger

Denne sikkerhedsrettelse kræver SQL Server 2000 Service Pack 3 (SP3) eller Service Pack 3a (SP3a). Microsoft anbefaler SQL Server 2000 Service Pack 3a.

Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
290211 Sådan får du den nyeste service pack til SQL Server 2000 (artiklen er evt. på engelsk)
Bemærk! Hvis du ikke har installeret sikkerhedsrettelsen fra Microsoft Security Bulletin MS03-031, skal du hente og bruge filen, der er tilgængelig via artiklen i Microsoft Knowledge Base:
826161 Rettelse: Du bedes angive en adgangskodebekræftelse efter ændring af et standard SQL Server-logon (artiklen er evt. på engelsk)

Installationsoplysninger

Denne sikkerhedsopdatering understøtter følgende installationsparametre.
Skjul tabellenUdvid tabellen
ParameterBeskrivelse
sDeaktiverer dialogboksen med status over Selvudpakning. Skal angive før parameteren /a.
/aDenne parameter skal angives før alle andre parametre bortset fra /s, hvis du kører hotfixet ved at bruge den selvudpakkende EXE-fil, og du vil have inkluderet parametre for uovervågede installationer. Det er obligatorisk at angive denne parameter, hvis installationsprogrammet skal køre i uovervåget tilstand.
/qDenne parameter får installationsprogrammet til at køre i uovervåget tilstand uden nogen brugergrænseflade.
INSTANCENAMENavnet på forekomsten af SQL Server. Du skal angive det på denne måde:

INSTANCENAME=dinforekomstnavn
BLANKSAPWDBetyder en tom sa-adgangskode til SQL-godkendelse. Hvis du angiver denne parameter på computere, der kører Microsoft Windows NT eller Microsoft Windows 2000, tilsidesættes standardlogon til Windows-godkendelse, og parameteren prøver at logge på med en tom sa-adgangskode. Den korrekte syntaks for denne parameter er BLANKSAPWD=1. Parameteren anerkendes kun ved uovervågede installationer.
SAPWDIkke-tom sa-adgangskode. Hvis du indtaster denne parameter, skal den have formen SAPWD=dinadgangskode. Denne parameter tilsidesætter standard Windows-godkendelse på computere, der kører Windows NT eller Windows 2000 eller - hvis det er angivet - BLANKSAPWD.
Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
330391 Hotfix-installationsprogram til SQL Server (artiklen er evt. på engelsk)

Krav om genstart

Du behøver ikke at genstarte computeren, når du har installeret denne sikkerhedsrettelse, medmindre du bedes om det af hotfix-installationsprogrammet.

Oplysninger om fjernelse

Fjernelse af denne programrettelse er ikke understøttet, medmindre bestemte kataloger er blevet sikkerhedskopieret, inden installationen af sikkerhedsrettelsen. Yderligere oplysninger finder du i afsnittet om, hvordan du fjerner eller gendanner hotfixet ("How to Remove or Rollback the Hotfix") i følgende artikel i Microsoft Knowledge Base:
330391 Hotfix-installationsprogram til SQL Server (artiklen er evt. på engelsk)

Oplysninger om erstatning af sikkerhedsrettelser

Denne sikkerhedsrettelse erstatter ikke nogen anden sikkerhedsrettelse til SQL Server 2000 Service Pack 3 (SP3).

Filoplysninger

Den engelske version af denne sikkerhedsopdatering indeholder de filattributter (eller nyere filattributter), der er angivet i nedenstående tabel. Dato og klokkeslæt for disse filer er angivet i UTC-format (Universal Time Coordinates). Når du får vist filoplysningerne, konverteres de til lokal tid. Klik på fanen Tidszone under funktionen Dato og klokkeslæt i Kontrolpanel for at finde forskellen mellem UTC og lokal tid.
   Dato         Klokkeslæt   Version             Størrelse         Filnavn ---------------------------------------------------------------------------- 31-May-2003  18:45  2000.80.818.0      78,400 bytes  Console.exe 25-Jun-2003  01:01  2000.80.818.0      33,340 bytes  Dbmslpcn.dll 25-Apr-2003  02:12                    786,432 bytes  Distmdl.ldf 25-Apr-2003  02:12                  2,359,296 bytes  Distmdl.mdf 30-Jan-2003  01:55                        180 bytes  Drop_repl_hotfix.sql 07-Apr-2003  19:15  2000.80.801.0   1,557,052 bytes  Dtsui.dll 24-Apr-2003  02:51                    747,927 bytes  Instdist.sql 03-May-2003  01:56                      1,581 bytes  Inst_repl_hotfix.sql 08-Feb-2003  06:40  2000.80.765.0      90,692 bytes  Msgprox.dll 01-Apr-2003  02:07                      1,873 bytes  Odsole.sql 07-May-2000  07:04                      1,873 bytes  Odsole.sql 02-Apr-2003  21:48  2000.80.796.0      57,904 bytes  Osql.exe 02-Apr-2003  23:15  2000.80.797.0     279,104 bytes  Pfutil80.dll 04-Apr-2003  21:27                  1,083,467 bytes  Replmerg.sql 04-Apr-2003  21:53  2000.80.798.0     221,768 bytes  Replprov.dll 08-Feb-2003  06:40  2000.80.765.0     307,784 bytes  Replrec.dll 05-May-2003  00:05                  1,085,874 bytes  Replsys.sql 31-May-2003  01:01  2000.80.818.0     492,096 bytes  Semobj.dll 31-May-2003  18:27  2000.80.818.0     172,032 bytes  Semobj.rll 29-May-2003  00:29                    115,944 bytes  Sp3_serv_uni.sql 01-Jun-2003  01:01  2000.80.818.0   4,215,360 bytes  Sqldmo.dll 07-Apr-2003  17:44                     25,172 bytes  Sqldumper.exe 19-Mar-2003  18:20  2000.80.789.0      28,672 bytes  Sqlevn70.rll 24-Apr-2003  05:39  2000.80.811.0     176,696 bytes  Sqlmap70.dll 08-Feb-2003  06:40  2000.80.765.0      57,920 bytes  Sqlrepss.dll 01-Jun-2003  01:02  2000.80.818.0   7,544,916 bytes  Sqlservr.exe 01-Jun-2003  01:02                 12,739,584 bytes  Sqlservr.pdb 08-Feb-2003  06:40  2000.80.765.0      45,644 bytes  Sqlvdi.dll 25-Jun-2003  01:01  2000.80.818.0      33,340 bytes  Ssmslpcn.dll 01-Jun-2003  01:01  2000.80.818.0      82,492 bytes  Ssnetlib.dll 01-Jun-2003  01:01  2000.80.818.0      25,148 bytes  Ssnmpn70.dll 01-Jun-2003  01:01  2000.80.818.0     158,240 bytes  Svrnetcn.dll 31-May-2003  18:59  2000.80.818.0      76,416 bytes  Svrnetcn.exe 30-Apr-2003  23:52  2000.80.816.0      45,132 bytes  Ums.dll 30-Apr-2003  23:52                    132,096 bytes  Ums.pdb 28-Feb-2003  01:34  2000.80.778.0      98,872 bytes  Xpweb70.dll

Kontrol

Brug oplysningerne i følgende Microsoft Knowledge Base-artikel til at fastslå, hvilken version af SQL Server du kører:
321185 Sådan identificeres version og udgave af din SQL Server service pack (artiklen er evt. på engelsk)
Kør én af følgende, når du har installeret denne sikkerhedsrettelse:
SELECT serverproperty('productversion') 

SELECT @@Version
Der skal returneres følgende:
8.00.818

Referencer

Yderligere oplysninger om denne sikkerhedsrettelse finder du i følgende Microsoft-sikkerhedsbulletin:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Yderligere oplysninger finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
824684 Beskrivelse af den standardterminologi, der bruges til at beskrive Microsoft-softwareopdateringer

Egenskaber

Artikel-id: 821277 - Seneste redigering: 27. januar 2006 - Redigering: 7.2
Oplysningerne i denne artikel gælder:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Nøgleord: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com