MS03-031: SQL Server 2000 Service Pack 3 -tietoturvakorjaus

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 821277 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Microsoft toimittaa SQL Server 2000:n tietoturvakorjaukset yhtenä ladattavana tiedostona. Koska tietoturvakorjaukset ovat kumulatiivisia, jokainen uusi versio sisältää kaikki edelliseen SQL Server 2000:n tietoturvakorjaukseen sisältyneet korjaukset. Aikaisempaa tietoturvakorjausta ei tarvitse asentaa ennen uusimman tietoturvakorjauksen asentamista.

Saat lisätietoja uusimmasta Microsoft SQL Server 2000 Service Pack -paketista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
290211 Uusimman SQL Server 2000 Service Pack -paketin hankkiminen (tämä artikkeli saattaa olla englanninkielinen)

ESITTELY

Tämä Microsoft Knowledge Base -artikkeli sisältää luettelon kaikista SQL Server 2000 Service Pack 3:a (SP3), SQL Server 2000 Service Pack 3a:ta (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3:a (SP3) ja SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a:ta (SP3a) varten saatavilla olevista tietoturvakorjauksista.

Tärkeitä huomautuksia

  • Tämä kumulatiivinen paketti ei sisällä Microsoft Data Access Componentsin (MDAC) ja Analysis Servicesin tietoturvakorjauksia.

Seuraavassa on luettelo tämän tietoturvakorjauksen korjaamista heikkouksista:
  • Nimetyn putken kaappaaminen
    Kun SQL Server käynnistyy, se luo palvelimeen tuleville yhteyksille tietyn nimetyn putken ja tarkkailee sitä. Nimetty putki on erityisesti nimetty yksi- tai kaksisuuntainen tietoliikennekanava putkipalvelimen ja yhden tai useamman putkiasiakkaan välillä. SQL Server tarkistaa nimetyn putken ja tarkistaa, mitkä yhteydet pystyvät kirjautumaan SQL Server -palvelinta suorittavaan järjestelmään suorittamaan kyselyitä palvelimeen tallennetuista tiedoista.

    Nimetyn putken tarkistustavassa on virhe, jonka avulla SQL Server -palvelimen paikallinen hyökkääjä saattaa pystyä kaappaamaan (ottamaan haltuunsa) nimetyn putken, kun toinen asiakas käyttää todennettua kirjautumissalasanaa kirjautumisessa. Tämän myötä hyökkääjä saisi nimetyn putken haltuunsa samassa käyttöoikeustasossa kuin käyttäjä, joka yrittää muodostaa yhteyttä. Jos etäyhteyden muodostamista yrittävällä käyttäjällä on suurempi käyttöoikeustaso kuin hyökkääjällä, hyökkääjä saa kyseiset käyttöoikeudet itselleen, jos hän onnistuu kaappaamaan nimetyn putken itselleen.
  • Nimetyn putken palvelunesto
    Tämän artikkelin Nimetyn putken kaappaaminen -kohdassa kuvatussa hyökkäystilanteessa todentamaton paikallinen intranet-käyttäjä saattaa pystyä lähettämään hyvin suuren paketin määritettyyn nimettyyn putkeen, jota SQL Server -palvelinta suorittava järjestelmä seuraa, ja näin jumiuttamaan järjestelmän.

    Tämä heikkous ei anna hyökkääjän suorittaa haluamaansa koodia tai nostaa käyttöoikeuksiensa tasoa. Palvelunestotilan vuoksi palvelin saatetaan kuitenkin joutua käynnistämään uudelleen, jotta se voi jatkaa toimintaa.
  • SQL Server -palvelimen puskurin ylivuoto
    Tietyssä Windows-toiminnossa on virhe, jonka avulla suorassa yhteydessä oleva SQL Server -palvelinta suorittavaan järjestelmään kirjautumaan pystyvä todentamaton käyttäjä saattaa pystyä luomaan erityisesti muotoillun paketin, jonka lähettäminen järjestelmän tarkkailemaan LPC-porttiin saattaa aiheuttaa puskurin ylivuodon. Jos tätä virhettä onnistutaan hyödyntämään onnistuneesti, järjestelmässä rajoitetut käyttöoikeudet omistava käyttäjä saattaa pystyä nostamaan käyttöoikeustasoaan SQL Server -tilin tasolle tai suorittamaan haluamaansa koodia.

SQL Server kysyy salasanaa sen jälkeen, kun "MS03-031: SQL Serverin kumulatiivinen tietoturvakorjaustiedosto" -korjaus on asennettu

Kun olet asentanut "MS03-031: SQL Serverin kumulatiivinen tietoturvakorjaustiedosto" -korjauksen ja tehnyt muutoksia SQL Serverin vakiokirjautumistapaan Enterprise Managerin avulla, SQL Server kysyy salasanaa, vaikka et ole vaihtanut salasanaa. Jos et vaihtanut salasanaa, valintaikkunan sulkeminen ei onnistu riippumatta siitä, mitä siihen kirjoitat. Voit korjata tämän ongelman lataamalla ja asentamalla seuraavassa Microsoft Knowledge Base -artikkelissa kuvatun korjaustiedoston:
826161 Korjaus: Salasanavahvistusta kysytään SQL Serverin vakiokirjautumistavan muuttamisen jälkeen (tämä artikkeli saattaa olla englanninkielinen)

Enemmän tietoa

Tärkeitä huomautuksia

Lue nämä tärkeät huomautukset tämän korjaustiedoston asentamisesta tietokoneeseen, jossa SQL Server 2000 SP3 -palvelin suoritetaan.

UDDI Services (Universal Description, Discovery and Integration) -palvelut

Jos asennat tämän tietoturvakorjauksen Microsoft Windows Server 2003 -tietokoneeseen, johon on asennettu UDDI Services -palvelut, sinun on tehtävä tilanteen mukaan jompikumpi vaadittavista toimista UDDI Services -palveluiden uudelleenkäynnistämiseksi. UDDI Services -palvelut eivät jatka normaalia toimintaansa, ennen kuin teet vaadittavan toimen.
  • Jos mikään muu Web-palvelu ei ole käytössä Windows Server 2003 -tietokoneessa, voit käynnistää UDDI Services -palvelut uudelleen käynnistämällä Microsoft Internet Information Services (IIS) -palvelut uudelleen. IIS-palveluiden uudelleenkäynnistäminen vastaa sitä, että palvelut pysäytetään ja käynnistetään uudelleen, mutta se suoritetaan yksittäisellä komennolla. IIS-palvelut voidaan käynnistää uudelleen kahdella tavalla:
    • IIS Manager -apuohjelman graafisen käyttöliittymän avulla
    • IISReset-komentoriviapuohjelman avulla.
  • Jos Windows Server 2003 -tietokoneessa on käynnissä muita Web-palveluita, et välttämättä halua niiden toiminnan keskeytyvän. Voit käynnistää UDDI Services -palvelut uudelleen seuraavasti:
    1. Käynnistä IIS Manager -apuohjelma.
    2. Etsi Application Pools -kansio ja napsauta MSUDDIAppPool-kuvaketta hiiren kakkospainikkeella.
    3. Valitse valikosta kierrätysvaihtoehto (Siirrä roskakoriin). Tällöin UDDI Services -palvelut voivat jatkaa toimintaansa niin, että se ei vaikuta tietokoneen muihin Web-palveluihin.

Virhesanoma yrittäessäsi muodostaa yhteyden Microsoft Windows NT 4.0 -tietokoneeseen nimettyjen putkien avulla

Kun muodostat yhteyden käyttäen nimettyjä putkia Windows NT 4.0 -tietokoneeseen, jossa Microsoft SQL Server 2000 käynnissä, ja yhteys muodostetaan ilman järjestelmänvalvojan oikeuksia, näyttöön tulee seuraavankaltainen virhesanoma:

Sanoma 1
Yhteyttä ei voitu muodostaa. SQL Server -palvelinta ei ole.
Sanoma 2
Yhteyttä ei voitu muodostaa. Käyttö estetty.
Jos haluat hankkia tämän virhesanoman ilmaiseman virhetilanteen estävän korjaustiedoston, lue seuraava Microsoft Knowledge Base -tietokannan artikkeli:
823492 Yhteyttä ei voitu muodostaa -virhesanoma yritettäessä muodostaa yhteyttä SQL Server 2000:ta tai SQL Server 7.0:aa suorittavaan Windows NT 4.0 -tietokoneeseen (tämä artikkeli saattaa olla englanninkielinen)

Lataamistiedot

Voit ladata seuraavan tiedoston Microsoft Download Centeristä:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Julkaisupäivämäärä: 23.7.2003

Lisätietoja Microsoft-tukitiedostojen lataamisesta ja asentamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
119591 Microsoft-tukitiedostojen hankkiminen online-palveluista
Microsoft on tarkistanut tämän tiedoston virusten varalta. Microsoft käytti viimeisintä virustentarkistusohjelmaa, joka oli saatavana tiedoston julkaisupäivänä. Tiedosto on tallennettu suojattuihin palvelimiin, joten sitä ei voi muokata luvattomasti.

Edellytykset

Tämä suojauskorjaus vaatii SQL Server 2000 Service Pack 3:n (SP3) tai Service Pack 3a:n (SP3a). Microsoft suosittelee SQL Server 2000 Service Pack 3a:ta.

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
290211 Uusimman SQL Server 2000 Service Pack -paketin hankkiminen (tämä artikkeli saattaa olla englanninkielinen)
Huomautus Jos et ole asentanut Microsoftin tietoturvatiedotteen MS03-031 tietoturvakorjausta, lataa ja asenna seuraavassa Microsoft Knowledge Base -artikkelissa saatavana oleva tiedosto:
826161 Korjaus: Salasanavahvistusta kysytään SQL Serverin vakiokirjautumistavan muuttamisen jälkeen (tämä artikkeli saattaa olla englanninkielinen)

Asennustiedot

Tämä tietoturvakorjaus tukee seuraavia asennusohjelman valitsimia:
Kutista tämä taulukkoLaajenna tämä taulukko
ValitsinKuvaus
sPoistaa automaattisen purkamisen edistymisen valintaikkunan käytöstä. Tämän on tultava ennen valitsinta /a .
/aTämän parametrin on tultava ennen kaikkia muita parametreja valitsinta /s lukuun ottamatta, jos suoritat hotfix-korjaustiedostoa käyttämällä itsepurkautuvaa .exe-tiedostoa ja haluat sisällyttää valvomattomien asennusten parametrit. Tämä on pakollinen parametri, joka vaaditaan, jotta asennusohjelma voi toimia valvomattomassa tilassa.
/qTämä valitsin aiheuttaa sen, että asennusohjelma toimii hiljaisessa tilassa ilman käyttöliittymää.
INSTANCENAMESQL Serverin esiintymän nimi. Nimi on annettava seuraavassa muodossa:

INSTANCENAME=esiintymänimesi
BLANKSAPWDTarkoittaa tyhjää sa-salasanaa SQL-todennusta varten. Jos annat tämän parametrin Microsoft Windows NT- tai Microsoft Windows 2000 -tietokoneissa, Windowsin oletustodennuksen kirjautumisnimi ohitetaan ja se yrittää kirjautua tyhjällä sa-salasanalla. Tämän parametrin oikea muoto on BLANKSAPWD=1. Tämä parametri tunnistetaan vain valvomattomien asennusten yhteydessä.
SAPWDMuu kuin tyhjä sa-salasana. Jos käytät tätä parametria, se tulee määrittää muodossa SAPWD=omasalasana. Tämä parametri ohittaa Windowsin oletustodennuksen tietokoneissa, joiden käyttöjärjestelmänä on Windows NT tai Windows 2000. Tämä parametri voi myös ohittaa mahdollisesti annetun BLANKSAPWD-parametrin.
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
330391 SQL Serverin korjaustiedostojen asennusohjelma (tämä artikkeli saattaa olla englanninkielinen)

Uudelleenkäynnistysvaatimus

Sinun ei tarvitse käynnistää tietokonetta uudelleen tämän tietoturvakorjauksen asentamisen jälkeen, ellei korjaustiedostojen asennusohjelma kehota tekemään niin.

Poistamistiedot

Tämän korjaustiedoston poistamista ei tueta, ellei tiettyjä luetteloita varmuuskopioitu ennen tämän tietoturvakorjauksen asennusta. Lue lisätietoja seuraavan Microsoft Knowledge Base -tietokannan artikkelin korjaustiedoston poistamista tai sitä edeltävään tilaan palauttamista käsittelevästä osasta:
330391 SQL Serverin korjaustiedostojen asennusohjelma (tämä artikkeli saattaa olla englanninkielinen)

Tietoturvakorjaustiedoston korvaustiedot

Tämä tietoturvakorjaustiedosto ei korvaa mitään muita SQL Server 2000 Service Pack 3:n (SP3) tietoturvakorjaustiedostoja.

Tiedostojen tiedot

Tämän tietoturvakorjauksen englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.
   Päiväys         Aika   Versio             Koko         Tiedostonimi ---------------------------------------------------------------------------- 31.5.2003  18:45  2000.80.818.0      78,400 tavua  Console.exe 25.6.2003  01:01  2000.80.818.0      33,340 tavua  Dbmslpcn.dll 25.4.2003  02:12                    786,432 tavua  Distmdl.ldf 25.4.2003  02:12                  2,359,296 tavua  Distmdl.mdf 30.1.2003  01:55                        180 tavua  Drop_repl_hotfix.sql 7.4.2003  19:15  2000.80.801.0   1,557,052 tavua  Dtsui.dll 24.4.2003  02:51                    747,927 tavua  Instdist.sql 3.5.2003  01:56                      1,581 tavua  Inst_repl_hotfix.sql 8.2.2003  06:40  2000.80.765.0      90,692 tavua  Msgprox.dll 1.4.2003  02:07                      1,873 tavua  Odsole.sql 7.5.2000  07:04                      1,873 tavua  Odsole.sql 2.4.2003  21:48  2000.80.796.0      57,904 tavua  Osql.exe 2.4.2003  23:15  2000.80.797.0     279,104 tavua  Pfutil80.dll 4.4.2003  21:27                  1,083,467 tavua  Replmerg.sql 4.4.2003  21:53  2000.80.798.0     221,768 tavua  Replprov.dll 8.2.2003  06:40  2000.80.765.0     307,784 tavua  Replrec.dll 5.5.2003  00:05                  1,085,874 tavua  Replsys.sql 31.5.2003  01:01  2000.80.818.0     492,096 tavua  Semobj.dll 31.5.2003  18:27  2000.80.818.0     172,032 tavua  Semobj.rll 29.5.2003  00:29                    115,944 tavua  Sp3_serv_uni.sql 1.6.2003  01:01  2000.80.818.0   4,215,360 tavua  Sqldmo.dll 7.4.2003  17:44                     25,172 tavua  Sqldumper.exe 19.3.2003  18:20  2000.80.789.0      28,672 tavua  Sqlevn70.rll 24.4.2003  05:39  2000.80.811.0     176,696 tavua  Sqlmap70.dll 8.2.2003  06:40  2000.80.765.0      57,920 tavua  Sqlrepss.dll 1.6.2003  01:02  2000.80.818.0   7,544,916 tavua  Sqlservr.exe 1.6.2003  01:02                 12,739,584 tavua  Sqlservr.pdb 8.2.2003  06:40  2000.80.765.0      45,644 tavua  Sqlvdi.dll 25.6.2003  01:01  2000.80.818.0      33,340 tavua  Ssmslpcn.dll 1.6.2003  01:01  2000.80.818.0      82,492 tavua  Ssnetlib.dll 1.6.2003  01:01  2000.80.818.0      25,148 tavua  Ssnmpn70.dll 1.6.2003  01:01  2000.80.818.0     158,240 tavua  Svrnetcn.dll 31.5.2003  18:59  2000.80.818.0      76,416 tavua  Svrnetcn.exe 30.4.2003  23:52  2000.80.816.0      45,132 tavua  Ums.dll 30.4.2003  23:52                    132,096 tavua  Ums.pdb 28.2.2003  01:34  2000.80.778.0      98,872 tavua  Xpweb70.dll

Tarkistus

Voit selvittää käytössä olevan SQL Server -version käyttämällä apuna seuraavan Microsoft Knowledge Base -artikkelin tietoja:
321185 SQL Server Service Packin version selvittäminen (tämä artikkeli saattaa olla englanninkielinen)
Kun olet asentanut tämän tietoturvakorjauksen, suorita jokin seuraavista:
SELECT serverproperty('productversion') 

SELECT @@Version
Tuloksen pitäisi olla seuraava:
8.00.818

Suositukset

Lisätietoja tästä tietoturvakorjauksesta on seuraavassa Microsoftin tietoturvatiedotteessa:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
824684 Microsoftin ohjelmistopäivitystiedoissa käytettävien vakiotermien kuvaus

Ominaisuudet

Artikkelin tunnus: 821277 - Viimeisin tarkistus: 27. tammikuuta 2006 - Versio: 7.2
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Hakusanat: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com