MS03-031: Patch di protezione per SQL Server 2000 Service Pack 3

Traduzione articoli Traduzione articoli
Identificativo articolo: 821277 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Le patch di protezione per SQL Server 2000 vengono distribuite all'interno di un unico file scaricabile. In quanto cumulative, ogni nuova versione contiene tutti gli aggiornamenti rapidi e tutte le patch di protezione inclusi nella versione precedente della patch di protezione di SQL Server 2000. Non Ŕ pertanto necessario installare le versioni precedenti delle patch di protezione prima di installare la patch pi¨ recente.

Per ulteriori informazioni sul service pack pi¨ aggiornato per Microsoft SQL Server 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290211 Come ottenere il service pack pi¨ recente per SQL Server 2000

INTRODUZIONE

In questo articolo della Microsoft Knowledge Base Ŕ riportato l'elenco di tutte le patch di protezione disponibili per SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) e SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Note importanti

  • Questo pacchetto cumulativo non contiene le correzioni di protezione disponibili in Microsoft Data Access Components (MDAC) e Analysis Services.

Di seguito Ŕ riportato un elenco dei problemi di vulnerabilitÓ risolti con questa patch di protezione:
  • Acquisizione del controllo della named pipe
    All'avvio di SQL Server viene creata una specifica named pipe analizzata in seguito dal programma per rilevare le connessioni in ingresso sul server. La named pipe Ŕ un canale unidirezionale o bidirezionale con un nome specifico per la comunicazione tra un server pipe e uno o pi¨ client pipe. Tale named pipe viene verificata per stabilire con quali connessioni Ŕ possibile effettuare l'accesso al sistema su cui viene eseguito SQL Server ed eseguire query sui dati memorizzati sul server.

    ╚ tuttavia presente un difetto nel metodo di controllo della named pipe che potrebbe consentire a un utente malintenzionato interno al sistema su cui viene eseguito SQL Server di acquisire il controllo della named pipe nel momento in cui da un altro client viene effettuato l'accesso con password di autenticazione. In questo modo l'utente malintenzionato potrebbe acquisire il controllo della named pipe con lo stesso livello di autorizzazioni dell'utente che tenta di effettuare la connessione. Se l'utente che tenta di effettuare la connessione remota dispone di autorizzazioni di livello superiore rispetto a quelle dell'utente malintenzionato, quest'ultimo acquisirÓ tali diritti nel momento in cui la named pipe viene compromessa.
  • Attacco di tipo Denial of Service alla named pipe
    Nello stesso scenario di named pipe illustrato precedentemente nella sezione "Acquisizione del controllo della named pipe", un utente non autenticato della rete locale Intranet potrebbe riuscire a inviare un pacchetto di grandi dimensioni a una determinata named pipe analizzata dal sistema su cui Ŕ in esecuzione SQL Server, causandone il blocco.

    Questa vulnerabilitÓ non consente all'utente malintenzionato di eseguire codice arbitrario o elevare il livello delle proprie autorizzazioni. Si pu˛ tuttavia verificare una condizione di Denial of Service in seguito alla quale sarÓ necessario il riavvio del server per ripristinarne le funzionalitÓ.
  • Sovraccarico del buffer di SQL Server
    In una specifica funzione di Windows Ŕ presente un difetto che potrebbe consentire a un utente autenticato con accesso diretto al sistema su cui viene eseguito SQL Server di creare un pacchetto appositamente formulato che pu˛ causare un sovraccarico del buffer nel momento in cui viene inviato alla porta LPC (Local Procedure Call) di attesa del sistema. Se sfruttata, questa vulnerabilitÓ pu˛ permettere a un utente con autorizzazioni limitate nel sistema di elevare il livello delle proprie autorizzazioni a quello dell'account dei servizi di SQL Server oppure pu˛ causare l'esecuzione di codice arbitrario.

Dopo l'installazione di MS03-031: Patch di protezione cumulativa per SQL Server, in SQL Server verrÓ richiesta una password

Dopo avere installato "MS03-031: Patch cumulativa per SQL Server", alla modifica di un accesso standard a SQL Server mediante Enterprise Manager, verrÓ richiesta la password anche qualora questa non sia stata modificata. Nel caso in cui la password non sia stata modificata, non si potrÓ chiudere la finestra di dialogo indipendentemente dalla stringa immessa. Per risolvere questo problema o evitare che si presenti, scaricare e installare la correzione inclusa nel seguente articolo della Microsoft Knowledge Base:
826161 FIX: Dopo che si Ŕ modificato un account di accesso standard a SQL Server viene richiesta la conferma della password

Informazioni

Note importanti

Leggere attentamente le note riportate di seguito relative all'installazione della patch in un computer con SQL Server 2000 SP3.

Servizi UDDI (Universal Description, Discovery, and Integration)

Se la patch di protezione viene installata in un computer con Microsoft Windows Server 2003 e i Servizi UDDI, Ŕ necessario effettuare una delle due operazioni indicate di seguito per riavviare i Servizi UDDI, a seconda delle circostanze. Solo in seguito verrÓ ripristinato il normale funzionamento dei Servizi UDDI.
  • Se sul computer con Windows Server 2003 non Ŕ in uso alcun altro servizio Web, sarÓ possibile riavviare i Servizi UDDI riavviando Microsoft Internet Information Services (IIS). Il riavvio di IIS corrisponde a un'interruzione e a un successivo riavvio di IIS, con l'unica differenza che l'operazione viene effettuata con un solo comando. Per riavviare IIS Ŕ possibile operare in due modi:
    • Utilizzando l'interfaccia grafica di Gestione IIS.
    • Utilizzando l'utilitÓ della riga di comando IISReset.
  • Se sul computer con Windows Server 2003 sono in uso altri servizi Web, pu˛ essere consigliabile non influire sul funzionamento di questi servizi. Per riavviare i servizi UDDI, attenersi alla seguente procedura:
    1. Avviare l'utilitÓ Gestione IIS.
    2. Individuare la cartella Pool di applicazioni, quindi fare clic con il pulsante destro del mouse sull'icona MSUDDIAppPool.
    3. Selezionare l'opzione di menu Riciclo. I servizi UDDI potranno cosý riprendere a funzionare senza influire su altri servizi Web del computer.

Visualizzazione di un messaggio di errore quando si effettua la connessione a un computer con Microsoft Windows NT 4.0 utilizzando named pipe

Quando viene effettuata la connessione a un computer con Windows NT 4.0 e Microsoft SQL Server 2000 utilizzando named pipe da un utente che non dispone di diritti di amministratore, pu˛ essere visualizzato un messaggio di errore analogo a uno dei seguenti:

Messaggio 1
Impossibile stabilire la connessione. SQL Server inesistente.
Messaggio 2
Impossibile stabilire la connessione. Accesso negato.
Per ottenere un aggiornamento rapido per risolvere il problema relativo a questo messaggio di errore, vedere il seguente articolo della Microsoft Knowledge Base:
823492 Messaggio di errore "Connection Could Not Be Established" quando si stabilisce la connessione a un computer basato su Windows NT 4.0 che esegue SQL Server 2000 o SQL Server 7.0

Informazioni sul download

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Data di rilascio: 23 luglio 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Questa patch di protezione richiede SQL Server 2000 Service Pack 3 (SP3) o Service Pack 3a (SP3a). Microsoft consiglia SQL Server 2000 Service Pack 3a.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290211 Come ottenere il service pack pi¨ recente per SQL Server 2000
Nota Se la patch di protezione relativa al Bollettino Microsoft sulla sicurezza MS03-031 non Ŕ ancora stata installata, scaricare e utilizzare il file disponibile con il seguente articolo della Microsoft Knowledge Base:
826161 FIX: Dopo che si Ŕ modificato un account di accesso standard a SQL Server viene richiesta la conferma della password

Informazioni sull'installazione

Questa patch di protezione supporta i seguenti parametri di installazione.
Riduci questa tabellaEspandi questa tabella
ParametroDescrizione
sConsente di disattivare la finestra di dialogo dell'estrazione automatica. Deve essere specificato prima del parametro /a.
/aQuesto parametro deve essere specificato prima di tutti gli altri parametri a eccezione di /s se l'aggiornamento rapido viene eseguito utilizzando il file EXE autoestraente e si desidera includere i parametri per l'installazione automatica. Si tratta di un parametro obbligatorio per l'installazione automatica.
/qCon questo parametro il programma di installazione verrÓ eseguito in modalitÓ non interattiva senza interfaccia utente.
INSTANCENAMENome dell'istanza di SQL Server. Deve essere immesso come indicato di seguito:

INSTANCENAME=nomeistanzautente
BLANKSAPWDConsente di impostare una password sa vuota per l'autenticazione SQL. Se viene immesso questo parametro su un computer con Microsoft Windows NT o Microsoft Windows 2000, l'accesso predefinito con l'autenticazione di Windows verrÓ ignorato e verrÓ tentato l'accesso con una password sa vuota. Il formato corretto del parametro Ŕ BLANKSAPWD=1. Questo parametro viene riconosciuto solo per le installazioni automatiche.
SAPWDPassword sa non vuota. Questo parametro deve essere specificato nel formato SAPWD=passwordsa. Il parametro consente di ignorare l'autenticazione predefinita di Windows su un computer con Windows NT o Windows 2000 oppure se viene specificato BLANKSAPWD.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
330391 Programma di installazione dell'aggiornamento rapido di SQL Server

Richiesta di riavvio

Se non viene richiesto, non Ŕ necessario riavviare il computer dopo l'installazione della patch di protezione.

Informazioni sulla rimozione

La rimozione della patch non Ŕ supportata se non Ŕ stato eseguito il backup di determinati cataloghi prima dell'installazione della patch di protezione. Per ulteriori informazioni, vedere la sezione relativa alla rimozione o al ripristino dello stato precedente dell'aggiornamento rapido nel seguente articolo della Microsoft Knowledge Base (il contenuto potrebbe essere in inglese):
330391 Programma di installazione dell'aggiornamento rapido di SQL Server

Informazioni sulla sostituzione della patch di protezione

Questa patch di protezione non sostituisce alcuna altra patch di protezione per SQL Server 2000 Service Pack 3 (SP3).

Informazioni sui file

La versione in lingua inglese di questa patch presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
Data        Ora    Versione           Dimensione   Nome file 
---------------------------------------------------------------------------- 
31/05/2003  18.45  2000.80.818.0      78.400 byte  Console.exe 
25/06/2003  01.01  2000.80.818.0      33.340 byte  Dbmslpcn.dll 
25/04/2003  02.12                    786.432 byte  Distmdl.ldf 
25/04/2003  02.12                  2.359.296 byte  Distmdl.mdf 
30/01/2003  01.55                        180 byte  Drop_repl_hotfix.sql 
07/04/2003  19.15  2000.80.801.0   1.557.052 byte  Dtsui.dll 
24/04/2003  02.51                    747.927 byte  Instdist.sql 
03/05/2003  01.56                      1.581 byte  Inst_repl_hotfix.sql 
08/02/2003  06.40  2000.80.765.0      90.692 byte  Msgprox.dll 
01/04/2003  02.07                      1.873 byte  Odsole.sql 
07/05/2000  07.04                      1.873 byte  Odsole.sql 
02/04/2003  21.48  2000.80.796.0      57.904 byte  Osql.exe 
02/04/2003  23.15  2000.80.797.0     279.104 byte  Pfutil80.dll 
04/04/2003  21.27                  1.083.467 byte  Replmerg.sql 
04/04/2003  21.53  2000.80.798.0     221.768 byte  Replprov.dll 
08/02/2003  06.40  2000.80.765.0     307.784 byte  Replrec.dll 
05/05/2003  00.05                  1.085.874 byte  Replsys.sql 
31/05/2003  01.01  2000.80.818.0     492.096 byte  Semobj.dll 
31/05/2003  18.27  2000.80.818.0     172.032 byte  Semobj.rll 
29/05/2003  00.29                    115.944 byte  Sp3_serv_uni.sql 
01/06/2003  01.01  2000.80.818.0   4.215.360 byte  Sqldmo.dll 
07/07/2003  17.44                     25.172 byte  Sqldumper.exe 
19/03/2003  18.20  2000.80.789.0      28.672 byte  Sqlevn70.rll 
24/04/2003  05.39  2000.80.811.0     176.696 byte  Sqlmap70.dll 
08/02/2003  06.40  2000.80.765.0      57.920 byte  Sqlrepss.dll 
01/06/2003  01.02  2000.80.818.0   7.544.916 byte  Sqlservr.exe 
01/06/2003  01.02                 12.739.584 byte  Sqlservr.pdb 
08/02/2003  06.40  2000.80.765.0      45.644 byte  Sqlvdi.dll 
25/06/2003  01.01  2000.80.818.0      33.340 byte  Ssmslpcn.dll 
01/06/2003  01.01  2000.80.818.0      82.492 byte  Ssnetlib.dll 
01/06/2003  01.01  2000.80.818.0      25.148 byte  Ssnmpn70.dll 
01/06/2003  01.01  2000.80.818.0     158.240 byte  Svrnetcn.dll 
31/05/2003  18.59  2000.80.818.0      76.416 byte  Svrnetcn.exe 
30/04/2003  23.52  2000.80.816.0      45.132 byte  Ums.dll 
30/04/2003  23.52                    132.096 byte  Ums.pdb 
28/02/2003  01.34  2000.80.778.0      98.872 byte  Xpweb70.dll

Verifica

Per determinare la versione di SQL Server in esecuzione, utilizzare le informazioni disponibili nel seguente articolo della Microsoft Knowledge Base:
321185 HOW TO: Identificare versione ed edizione del service pack di SQL Server
Dopo l'installazione della patch di protezione, eseguire uno dei comandi seguenti:
SELECT serverproperty('productversion') 

SELECT @@Version
DovrÓ essere restituito il seguente risultato:
8.00.818

Riferimenti

Per ulteriori informazioni su questo aggiornamento della protezione, vedere il seguente Bollettino Microsoft sulla sicurezza:
http://www.microsoft.com/italy/technet/security/bulletin/MS03-031.mspx
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
824684 Descrizione della terminologia standard utilizzata per illustrare gli aggiornamenti software Microsoft

ProprietÓ

Identificativo articolo: 821277 - Ultima modifica: lunedý 23 gennaio 2006 - Revisione: 7.2
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Chiavi:á
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com