MS03-031 : Correctif de sécurité pour SQL Server 2000 Service Pack 3

Traductions disponibles Traductions disponibles
Numéro d'article: 821277 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Microsoft distribue les correctifs de sécurité pour SQL Server 2000 sous la forme d'un fichier téléchargeable. Les correctifs de sécurité étant cumulatifs, chaque nouvelle version contient l'intégralité des correctifs et correctifs de sécurité inclus dans la précédente version du correctif de sécurité SQL Server 2000. Il n'est donc pas nécessaire d'installer un correctif de sécurité antérieur avant d'installer la dernière version disponible.

Pour plus d'informations sur le dernier Service Pack Microsoft SQL Server 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
290211 Comment faire pour obtenir le dernier Service Pack SQL Server 2000

INTRODUCTION

Cet article de la Base de connaissances Microsoft contient une liste des correctifs de sécurité disponibles pour le Service Pack 3 SQL Server 2000, le Service Pack 3a SQL Server 2000, le Service Pack 3 SQL Server 2000 Desktop Engine (MSDE) et le Service Pack 3a SQL Server 2000 Desktop Engine (MSDE).

Remarques importantes

  • Ce package cumulatif ne contient aucun correctif de sécurité pour Microsoft Data Access Components (MDAC) et Analysis Services.

Voici une liste des problèmes résolus par ce correctif de sécurité :
  • Détournement de canal nommé
    Lorsque SQL Server démarre, il crée puis écoute un canal nommé spécifique pour les connexions entrantes au serveur. Un canal nommé est un canal de communication unidirectionnel ou bidirectionnel spécifiquement nommé établi entre un serveur de canaux et un ou plusieurs clients de canaux. SQL Server vérifie le canal nommé afin de déterminer les connexions qui peuvent ouvrir une session sur le système SQL Server en vue d'exécuter des requêtes sur des données stockées sur le serveur.

    Il existe un défaut dans la méthode de vérification du canal nommé qui pourrait permettre à un utilisateur malveillant connecté localement au système SQL Server de détourner (prendre le contrôle) du canal nommé lorsqu'un autre client utilise un mot de passe d'ouverture de session authentifiée pour ouvrir une session. Cela autoriserait l'utilisateur malveillant à assumer le contrôle du canal nommé avec le même niveau d'autorisations que l'utilisateur qui tente de se connecter. Si l'utilisateur qui essaie de se connecter à distance possède un niveau d'autorisations supérieur à celui de l'utilisateur malveillant, celui-ci bénéficiera de ces droits une fois le canal nommé détourné.
  • Refus de service de canal nommé
    Dans le même scénario de canaux nommés que celui décrit dans la section "Détournement de canal nommé" de cet article, un utilisateur local de l'intranet non authentifié peut être en mesure d'envoyer un très gros paquet à un canal nommé spécifique à l'endroit où écoute le système SQL Server et bloquer l'exécution de celui-ci.

    Ce problème de sécurité ne permet pas à un utilisateur malveillant d'exécuter du code arbitraire ni d'élever son niveau d'autorisations. Toutefois, il peut provoquer une condition de refus de service nécessitant le redémarrage du serveur.
  • Dépassement de capacité de la mémoire tampon de SQL Server
    Il existe un défaut dans une fonction spécifique de Windows pouvant permettre à un utilisateur ayant un accès direct à l'ouverture de session sur le système SQL Server de créer un paquet spécialement formé qui, lorsqu'il est envoyé au port LPC (Local Procedure Call) d'écoute du système, peut provoquer un dépassement de capacité de la mémoire tampon. Lorsqu'il est correctement exploité, ce problème de sécurité peut permettre à un utilisateur ayant des autorisations limitées sur le système d'élever ses autorisations jusqu'au niveau du compte de service SQL Server ou de provoquer l'exécution de code arbitraire.

SQL Server vous demande de fournir un mot de passe après avoir installé le correctif de sécurité cumulatif pour SQL Server (MS03-031)

Après l'installation du correctif de sécurité cumulatif pour SQL Server (MS03-031), lorsque vous apportez des modifications à une connexion SQL Server standard à l'aide d'Enterprise Manager, SQL Server vous demande de fournir un mot de passe, même si vous n'avez pas modifié le mot de passe. Si vous n'avez pas modifié le mot de passe, vous ne pouvez pas fermer la boîte de dialogue, quelle que soit l'entrée utilisée. Pour éviter ou résoudre ce problème, téléchargez et utilisez le correctif décrit dans l'article suivant de la Base de connaissances Microsoft :
826161 CORRECTIF : Vous êtes invité à confirmer le mot de passe après avoir modifié une connexion SQL Server standard

Plus d'informations

Remarques importantes

Lisez ces remarques importantes relatives à l'installation de ce correctif sur un ordinateur exécutant SQL Server 2000 SP3.

Services UDDI (Universal Description, Discovery and Integration)

Si vous installez ce correctif de sécurité sur un ordinateur Microsoft Windows Server 2003 sur lequel les services UDDI sont installés, vous devez exécuter une action parmi les deux disponibles afin de redémarrer les services UDDI, selon votre situation. Les services UDDI ne refonctionneront normalement qu'une fois cette action exécutée.
  • Si aucun autre service Web n'est en cours d'utilisation sur l'ordinateur Windows Server 2003, vous pouvez redémarrer les services UDDI en redémarrant les services Internet (IIS). Le redémarrage des services Internet (IIS) est équivalent à l'arrêt de ces services puis à leur redémarrage, hormis le fait que cette opération s'effectue en une seule commande. Il existe deux manières de redémarrer les services Internet (IIS) :
    • Utilisation de l'interface utilisateur graphique du Gestionnaire des services Internet.
    • Utilisation de l'utilitaire de ligne de commande IISReset.
  • Si d'autres services Web sont en cours d'utilisation sur l'ordinateur Windows Server 2003, vous souhaiterez sans doute ne pas affecter leur fonctionnement. Pour redémarrer les services UDDI, procédez comme suit :
    1. Démarrez l'utilitaire Gestionnaire des services Internet.
    2. Recherchez le dossier Pools d'applications, puis cliquez avec le bouton droit sur l'icône MSUDDIAppPool.
    3. Sélectionnez l'option de menu Recycler. Cela permettra aux services UDDI de redémarrer sans affecter le fonctionnement des autres services Web de l'ordinateur.

Un message d'erreur s'affiche lorsque vous vous connectez à un ordinateur Microsoft Windows NT 4.0 à l'aide de canaux nommés

Lorsque vous vous connectez à un ordinateur Microsoft Windows NT 4.0 qui exécute Microsoft SQL Server 2000 à l'aide de canaux nommés et que cette connexion est établie par un utilisateur non administrateur, un message d'erreur semblable à l'un des suivants peut s'afficher :

Message 1
Impossible d'établir la connexion. SQL Server n'existe pas.
Message 2
Impossible d'établir la connexion. Accès refusé.
Pour obtenir un correctif afin de résoudre ce problème, reportez-vous à l'article suivant de la Base de connaissances Microsoft :
823492 Message d'erreur « Impossible d'établir la connexion » lorsque vous vous connectez à un ordinateur Windows NT 4.0 qui exécute SQL Server 2000 ou SQL Server 7.0

Informations sur le téléchargement

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :

http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Date de publication : 23 juillet 2003

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Conditions préalables

Ce correctif de sécurité requiert l'installation du Service Pack 3 (SP3) ou du Service Pack 4 (SP4) SQL Server 2000. Microsoft recommande le Service Pack 3a SQL Server 2000.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
290211 Comment faire pour obtenir le dernier Service Pack SQL Server 2000
Remarque Si vous n'avez pas installé le correctif de sécurité du Bulletin de sécurité Microsoft MS03-031, téléchargez et utilisez le fichier disponible dans l'article suivant de la Base de connaissances Microsoft :
826161 CORRECTIF : Vous êtes invité à confirmer le mot de passe après avoir modifié une connexion SQL Server standard

Informations sur l'installation

Ce correctif de sécurité prend en charge les commutateurs d'installation suivants.
Réduire ce tableauAgrandir ce tableau
CommutateurDescription
sDésactive la boîte de dialogue de progression d'extraction automatique. Doit figurer avant le commutateur /a.
/aCe paramètre doit figurer avant tous les autres paramètres (à l'exception de /s) si vous exécutez le correctif à l'aide du fichier exécutable à extraction automatique et que vous souhaitez inclure des commutateurs pour des installations sans assistance. Il s'agit d'un paramètre obligatoire pour l'exécution de l'installation en mode sans assistance.
/qCe commutateur exécute le programme d'installation en mode sans assistance et sans interface utilisateur.
INSTANCENAMENom de l'instance de SQL Server. Vous devez l'entrer comme suit :

INSTANCENAME=nom_votre_instance
BLANKSAPWDSignifie un mot de passe sa vide pour l'authentification SQL Server. Si vous entrez ce paramètre sur un ordinateur Microsoft Windows NT ou Microsoft Windows 2000, la connexion Authentification Windows par défaut est remplacée et l'ordinateur essaie de se connecter avec un mot de passe sa vide. Le format correct de ce paramètre est BLANKSAPWD=1. Ce paramètre est reconnu uniquement lors des installations sans assistance.
SAPWDMot de passe sa non vide. Si vous entrez ce paramètre, il doit respecter le format SAPWD=votre_mot_de_passe_sa. Ce paramètre remplace l'authentification Windows par défaut sur les ordinateurs Windows NT ou Windows 2000, ou BLANKSAPWD (si ce paramètre est entré).
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
330391 Programme d'installation des correctifs SQL Server

Nécessité d'un redémarrage

Vous n'êtes pas obligé de redémarrer votre ordinateur après avoir appliqué ce correctif de sécurité, sauf si le programme d'installation du correctif vous y invite.

Informations sur la suppression

La suppression de ce correctif n'est prise en charge que si certains catalogues ont été sauvegardés avant l'installation de ce correctif de sécurité. Pour plus d'informations, consultez la section "Comment faire pour supprimer ou annuler le correctif" de l'article suivant de la Base de connaissances Microsoft :
330391 Programme d'installation des correctifs SQL Server

Informations sur le remplacement de correctif de sécurité

Ce correctif de sécurité ne remplace aucun autre correctif de sécurité pour le Service Pack 3 SQL Server 2000.

Informations sur les fichiers

La version anglaise de ce correctif de sécurité dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.
   
Date      Heure   Version           Taille         Nom de fichier 
---------------------------------------------------------------------------- 
31/05/03  18:45  2000.80.818.0      78 400 octets  Console.exe 
25/06/03  01:01  2000.80.818.0      33 340 octets  Dbmslpcn.dll 
25/04/03  02:12                    786 432 octets  Distmdl.ldf 
25/04/03  02:12                  2 359 296 octets  Distmdl.mdf 
30/01/03  01:55                        180 octets  Drop_repl_hotfix.sql 
07/04/03  19:15  2000.80.801.0   1 557 052 octets  Dtsui.dll 
24/04/03  02:51                    747 927 octets  Instdist.sql 
03/05/03  01:56                      1 581 octets  Inst_repl_hotfix.sql 
08/02/03  06:40  2000.80.765.0      90 692 octets  Msgprox.dll 
01/04/03  02:07                      1 873 octets  Odsole.sql 
07/05/00  07:04                      1 873 octets  Odsole.sql 
02/04/03  21:48  2000.80.796.0      57 904 octets  Osql.exe 
02/04/03  23:15  2000.80.797.0     279 104 octets  Pfutil80.dll 
04/04/03  21:27                  1 083 467 octets  Replmerg.sql 
04/04/03  21:53  2000.80.798.0     221 768 octets  Replprov.dll 
08/02/03  06:40  2000.80.765.0     307 784 octets  Replrec.dll 
05/05/03  00:05                  1 085 874 octets  Replsys.sql 
31/05/03  01:01  2000.80.818.0     492 096 octets  Semobj.dll 
31/05/03  18:27  2000.80.818.0     172 032 octets  Semobj.rll 
29/05/03  00:29                    115 944 octets  Sp3_serv_uni.sql 
01/06/03  01:01  2000.80.818.0   4 215 360 octets  Sqldmo.dll 
07/04/03  17:44                     25 172 octets  Sqldumper.exe 
19/03/03  18:20  2000.80.789.0      28 672 octets  Sqlevn70.rll 
24/04/03  05:39  2000.80.811.0     176 696 octets  Sqlmap70.dll 
08/02/03  06:40  2000.80.765.0      57 920 octets  Sqlrepss.dll 
01/06/03  01:02  2000.80.818.0   7 544 916 octets  Sqlservr.exe 
01/06/03  01:02                 12 739 584 octets  Sqlservr.pdb 
08/02/03  06:40  2000.80.765.0      45 644 octets  Sqlvdi.dll 
25/06/03  01:01  2000.80.818.0      33 340 octets  Ssmslpcn.dll 
01/06/03  01:01  2000.80.818.0      82 492 octets  Ssnetlib.dll 
01/06/03  01:01  2000.80.818.0      25 148 octets  Ssnmpn70.dll 
01/06/03  01:01  2000.80.818.0     158 240 octets  Svrnetcn.dll 
31/05/03  18:59  2000.80.818.0      76 416 octets  Svrnetcn.exe 
30/04/03  23:52  2000.80.816.0      45 132 octets  Ums.dll 
30/04/03  23:52                    132 096 octets  Ums.pdb 
28/02/03  01:34  2000.80.778.0      98 872 octets  Xpweb70.dll

Vérification

Pour déterminer la version de SQL Server exécutée, utilisez les informations de l'article suivant de la Base de connaissances Microsoft :
321185 COMMENT FAIRE : Identification de la version et de l'édition du Service Pack SQL Server
Après avoir appliqué ce correctif de sécurité, exécutez l'une des commandes suivantes :
SELECT serverproperty('productversion') 

SELECT @@Version
La valeur suivante doit être renvoyée :
8.00.818

Références

Pour plus d'informations sur ce correctif de sécurité, reportez-vous au Bulletin de sécurité Microsoft suivant :
http://www.microsoft.com/france/technet/info/info.asp?mar=/france/technet/securite/info/ms03-031.html
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
824684Terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Propriétés

Numéro d'article: 821277 - Dernière mise à jour: lundi 23 janvier 2006 - Version: 7.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Mots-clés : 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com