MS03-031: Revisión de seguridad para el Service Pack 3 de SQL Server 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 821277 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Microsoft distribuye las revisiones de seguridad para SQL Server 2000 como un archivo que se puede descargar. Como las revisiones de seguridad son acumulativas, cada versión nueva contiene todos los hotfixes y todas las revisiones de seguridad incluidos en la revisión de seguridad anterior para SQL Server 2000. No necesita instalar una revisión de seguridad anterior antes de instalar la más reciente.

Para obtener información adicional acerca del Service Pack más reciente de Microsoft SQL Server 2000, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
290211 Cómo obtener el Service Pack más reciente de SQL Server 2000

INTRODUCCIÓN

Este artículo de Microsoft Knowledge Base contiene una lista de todas las revisiones de seguridad disponibles para el Service Pack 3 (SP3) de SQL Server 2000 , el Service Pack 3a (SP3a) de SQL Server 2000, el Service Pack 3 (SP3) de SQL Server 2000 Desktop Engine (MSDE) y el Service Pack 3a (SP3a) de SQL Server 2000 Desktop Engine (MSDE).

Notas importantes

  • Este paquete acumulativo no contiene las revisiones de seguridad para Microsoft Data Access Components (MDAC) y Servicios de análisis.

Ésta es una lista de las vulnerabilidades que se resuelven con esta revisión de seguridad:
  • Apropiación de canalizaciones con nombre
    Cuando SQL Server se inicia, crea una canalización con nombre específica y después escucha en ella las conexiones entrantes en el servidor. Una canalización con nombre es un canal unidireccional o bidireccional con nombre específico para la comunicación entre un servidor de canalizaciones y uno o varios clientes de canalizaciones. SQL Server comprueba la canalización con nombre para comprobar qué conexiones pueden iniciar sesión en el sistema que está ejecutando SQL Server para ejecutar consultas contra los datos almacenados en el servidor.

    En el método de comprobación de la canalización con nombre hay una deficiencia que podría permitir a un atacante que está en el sistema que ejecuta SQL Server apropiarse de la canalización con nombre cuando otro cliente usa una contraseña de inicio de sesión autenticada para iniciar sesión. Eso permitiría al atacante obtener el control de la canalización con nombre en el mismo nivel de permisos que el usuario que trata de conectarse. Si el usuario que intenta conectarse remotamente tiene un nivel de permisos superior al que tiene el atacante, éste asumirá esos derechos cuando se comprometa la seguridad de la canalización con nombre.
  • Denegación de servicio de canalización con nombre
    En la misma situación de las canalizaciones con nombre que se mencionaba en la sección "Apropiación de canalizaciones con nombre" de este artículo, un usuario no autenticado que esté en la intranet podría enviar un paquete muy grande a una canalización con nombre específica donde está escuchando el sistema que ejecuta SQL Server, para que no responda.

    Esta vulnerabilidad no permite que un atacante ejecute código arbitrario ni eleve sus permisos; sin embargo, podría seguir existiendo una condición de denegación de servicio que requiera el reinicio del servidor para restaurar la funcionalidad.
  • Desbordamiento de búfer de SQL Server
    Existe una deficiencia en una función específica de Windows que puede permitir que un usuario autenticado con acceso directo para iniciar sesión en el sistema donde se ejecuta SQL Server tenga la posibilidad de crear un paquete especialmente elaborado que, al enviarse al puerto de llamada a procedimiento local (LPC) de escucha del sistema, puede causar un desbordamiento de búfer. Si se explota esta vulnerabilidad, puede permitir a un usuario con permisos limitados en el sistema elevar sus permisos al nivel de la cuenta de servicio de SQL Server, o causar la ejecución de código arbitrario.

SQL Server solicita una contraseña después de instalar MS03-031: Revisión de seguridad acumulativa para SQL Server

Después de instalar "MS03-031: Revisión de seguridad acumulativa para SQL Server", cuando hace cambios en un inicio de sesión estándar de SQL Server mediante el Administrador corporativo, SQL Server le pide una contraseña, incluso aunque usted no la haya cambiado. Si no cambió la contraseña, puede cerrar el cuadro de diálogo, independientemente de la entrada que utilice. Para resolver o evitar este problema, descargue y utilice la revisión incluida en el siguiente artículo de Microsoft Knowledge Base:
826161 REVISIÓN: Se le pide confirmación de la contraseña después de cambiar un inicio de sesión estándar de SQL Server

Más información

Notas importantes

Lea estas notas importantes sobre la instalación de esta revisión en un equipo que ejecute el Service Pack 3 de SQL Server 2000

Servicios de Descripción, descubrimiento e integración universales (UDDI)

Si instala esta revisión de seguridad en un equipo con Microsoft Windows Server 2003, y se instalan los Services UDDI (Universal Description, Discovery, and Integration ), debe reiniciar los Servicios UDDI de una de las dos maneras posibles, en función de sus circunstancias. Los Servicios UDDI no reanudarán el funcionamiento normal hasta que lo haga.
  • Si no está en uso ningún otro servicio Web en el equipo que ejecuta Windows Server 2003, puede reiniciar los Servicios UDDI si reinicia Servicios de Microsoft Internet Information Server (IIS). Reiniciar IIS es lo mismo que detener primero IIS y después iniciarlo de nuevo, salvo que se haya hecho con un comando. Hay dos maneras de reiniciar IIS:
    • Usar la interfaz gráfica de usuario de Administrador de IIS.
    • Emplear la utilidad de línea de comandos IISReset.
  • Si hay otros servicios Web en uso en el equipo que está ejecutando Windows Server 2003, quizá no desee afectar a su funcionamiento. Para reiniciar los Servicios UDDI, siga estos pasos:
    1. Inicie la utilidad Administrador de IIS.
    2. Busque la carpeta Application Pools y, después, haga clic con el botón secundario del mouse (ratón) en el icono MSUDDIAppPool.
    3. Haga clic para seleccionar la opción de menú Reciclar. De esta forma los Servicios UDDI reanudarán su funcionamiento sin afectar a ningún otro servicio Web del equipo.

Aparece un mensaje de error cuando se conecta a un equipo basado de Microsoft Windows NT 4.0 con canalizaciones con nombre

Al conectarse a un equipo basado en Windows NT 4.0 que está ejecutando Microsoft SQL Server 2000 utilizando canalizaciones con nombre, si esa conexión la realiza un usuario que no sea administrador, puede aparece un mensaje de error similar a los siguientes:

Mensaje 1
No se pudo establecer la conexión. SQL Server no existe
Mensaje 2
No se pudo establecer la conexión. Acceso denegado.
Para obtener una revisión que resuelva este mensaje de error, vea el artículo siguiente de Microsoft Knowledge Base:
823492 Recibe el mensaje de error "No se pudo establecer la conexión" al conectar con un equipo basado en Windows NT 4.0 que está ejecutando SQL Server 2000 o SQL Server 7.0

Información de descarga

El siguiente archivo se puede descargar desde el Centro de descarga de Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Fecha de publicación: 23 de julio de 2003

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus Microsoft utilizó el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Requisitos previos

Esta revisión de seguridad requiere el Service Pack 3 (SP3) o el Service Pack 3a (SP3a) de SQL Server 2000. Microsoft recomienda utilizar el Service Pack 3a de SQL Server 2000.

Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
290211 Cómo obtener el Service Pack más reciente de SQL Server 2000
Nota
Si no ha instalado la revisión de seguridad del Boletín de seguridad de Microsoft MS03-031, descarga y uso el archivo que está disponible en el artículo de Microsoft Knowledge Base siguiente:
826161 REVISIÓN: Se le pide confirmación de la contraseña después de cambiar un inicio de sesión estándar de SQL Server

Información de la instalación

Esta revisión de seguridad admite los siguientes modificadores para la instalación.
Contraer esta tablaAmpliar esta tabla
ModificadorDescripción
sDeshabilita el cuadro de diálogo de progreso Extracción automática. Debe ir delante del modificador /a.
/aEste parámetro debe aparecer delante de todos los demás, excepto /s si está ejecutando la revisión mediante el archivo EXE autoextraíble y desea incluir parámetros para realizar instalaciones desatendidas. Se trata de un parámetro obligatorio para que el programa de instalación se ejecute en el modo desatendido.
/qEste modificador hace que el programa de instalación funcione en modo silencioso sin interfaz de usuario.
INSTANCENAMENombre de la instancia de SQL Server. Debe especificarlo como:

INSTANCENAME=suNombreDeSesión
BLANKSAPWD Significa una contraseña sa en blanco para la autenticación de SQL. Si especifica este parámetro en equipos que ejecutan Microsoft Windows NT o Microsoft Windows 2000, se anulará el inicio de sesión predeterminado Autenticación de Windows y se intentará iniciar sesión con una contraseña sa en blanco. El formato correcto para este parámetro es BLANKSAPWD=1. Este parámetro sólo se reconoce en instalaciones desatendidas.
SAPWDContraseña sa que no está en blanco. Si escribe este parámetro, debe estar en el formato SAPWD =suContraseña. Este parámetro reemplaza a la autenticación de Windows predeterminada en los equipos que ejecutan Windows NT o Windows 2000, o BLANKSAPWD, si se especifica.
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
330391 Programa de instalación de la revisión de SQL Server

Requisito de reinicio

No tiene que reiniciar el equipo después de aplicar esta revisión de seguridad a menos que el programa de instalación de la revisión lo solicite.

Información sobre la desinstalación

No se puede desinstalar esta revisión a menos que se hiciera una copia de seguridad de ciertos catálogos antes de instalarla. Para obtener más información al respecto, consulte la sección "Cómo quitar la revisión o revertir su instalación" del siguiente artículo de Microsoft Knowledge Base:
330391 Programa de instalación de la revisión de SQL Server

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad no reemplaza a ninguna otra revisión de seguridad del Service Pack 3 (SP3) de SQL Server 2000

Información de archivo

La versión en inglés de esta revisión de seguridad tiene los atributos de archivo mostrados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.

Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
31-may-0318:452000.80.818.078.400 bytesConsole.exe
25-jun-031:012000.80.818.033.340 bytesDbmslpcn.dll
25-abr-032:12786.432 bytesDistmdl.ldf
25-abr-032:122.359.296 bytesDistmdl.mdf
30-ene-031:55180 bytesDrop_repl_hotfix.sql
07-abr-0319:152000.80.801.01.557.052 bytesDtsui.dll
24-abr-032:51747.927 bytesInstdist.sql
03-may-031:561.581 bytesInst_repl_hotfix.sql
08-feb-036:402000.80.765.090.692 bytesMsgprox.dll
01-abr-032:071.873 bytesOdsole.sql
07-may-007:041.873 bytesOdsole.sql
02-abr-0321:482000.80.796.057.904 bytesOsql.exe
02-abr-0323:152000.80.797.0279.104 bytesPfutil80.dll
04-abr-0321:271.083.467 bytesReplmerg.sql
04-abr-0321:532000.80.798.0221.768 bytesReplprov.dll
08-feb-036:402000.80.765.0307.784 bytesReplrec.dll
05-may-030:051.085.874 bytesReplsys.sql
31-may-031:012000.80.818.0492.096 bytesSemobj.dll
31-may-0318:272000.80.818.0172.032 bytesSemobj.rll
29-may-030:29115.944 bytesSp3_serv_uni.sql
01-jun-031:012000.80.818.04.215.360 bytesSqldmo.dll
07-abr-0317:4425.172 bytesSqldumper.exe
19-mar-0318:202000.80.789.028.672 bytesSqlevn70.rll
24-abr-035:392000.80.811.0176.696 bytesSqlmap70.dll
08-feb-036:402000.80.765.057.920 bytesSqlrepss.dll
01-jun-031:022000.80.818.07.544.916 bytesSqlservr.exe
01-jun-031:0212.739.584 bytesSqlservr.pdb
08-feb-036:402000.80.765.045.644 bytesSqlvdi.dll
25-jun-031:012000.80.818.033.340 bytesSsmslpcn.dll
01-jun-031:012000.80.818.082.492 bytesSsnetlib.dll
01-jun-031:012000.80.818.025.148 bytesSsnmpn70.dll
01-jun-031:012000.80.818.0158.240 bytesSvrnetcn.dll
31-may-0318:592000.80.818.076.416 bytesSvrnetcn.exe
30-abr-0323:522000.80.816.045.132 bytesUms.dll
30-abr-0323:52132.096 bytesUms.pdb
28-feb-031:342000.80.778.098.872 bytesXpweb70.dll


Comprobación

Para saber qué versión de SQL Server se está ejecutando, use la información del archivo de Microsoft Knowledge Base siguiente:
321185 Cómo identificar la versión y la edición de un Service Pack de SQL Server
Después de aplicar esta revisión de seguridad, ejecute uno de los comandos siguientes:
SELECT serverproperty('productversion') 

SELECT @@Version
Deben devolver lo siguiente:
8.00.818

Referencias

Para obtener información adicional acerca de esta revisión de seguridad, consulte el Boletín de seguridad de Microsoft siguiente:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-022-IT.asp
Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 821277 - Última revisión: jueves, 26 de enero de 2006 - Versión: 7.2
La información de este artículo se refiere a:
  • Service Pack 3 de Microsoft SQL Server 2000
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Service Pack 3a de Microsoft SQL Server 2000
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Palabras clave: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com