[MS03-031] SQL Server 2000 Service Pack 3 用のセキュリティ修正プログラム

文書翻訳 文書翻訳
文書番号: 821277 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

マイクロソフトでは、SQL Server 2000 セキュリティ更新プログラムを、1 つのダウンロード ファイルとして配布しています。セキュリティ更新プログラムは累積的であるため、新しい更新プログラムには、それ以前の SQL Server 2000 セキュリティ更新プログラムに含まれていた修正プログラムおよびセキュリティ修正がすべて含まれています。最新のセキュリティ更新プログラムをインストールする前に、以前のセキュリティ更新プログラムをインストールする必要はありません。

最新の Microsoft SQL Server 2000 Service Pack の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290211 最新の SQL Server 2000 Service Pack の入手方法

はじめに

この資料では、SQL Server 2000 Service Pack 3 (SP3)、SQL Server 2000 Service Pack 3a (SP3a)、SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) および SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a) に関するすべてのセキュリティ修正の一覧を掲載しています。

注意事項

  • この累積的なパッケージには、Microsoft Data Access Components (MDAC) および Analysis Services のセキュリティ更新プログラムは含まれていません。

このセキュリティ更新プログラムで解決される脆弱性の一覧を以下に示します。
  • 名前付きパイプのハイジャック
    SQL Server が起動すると、サーバーへの着信接続用に特定の名前付きパイプが作成されてリッスンされます。名前付きパイプは、特定の名前が付けられた一方向または双方向のチャネルで、パイプ サーバーと 1 つ以上のパイプ クライアントとの間で通信を行うために使用されます。SQL Server は名前付きパイプをチェックし、どの接続が SQL Server を実行するシステムにログオンして、サーバー上に保存されたデータに対してクエリを実行できるかを検証します。

    名前付きパイプのチェック方法に存在する問題により、SQL Server を実行するシステムに対してローカルな攻撃者が、別のクライアントが認証済みログオン パスワードを使用してログオンしたときに、名前付きパイプをハイジャックする (名前付きパイプの制御を取得する) 可能性があります。これにより、攻撃者は、接続を試行しているユーザーと同じアクセス許可レベルで名前付きパイプの制御を取得することができます。リモートから接続を試行しているユーザーが、攻撃者のアクセス許可よりも高いレベルのアクセス許可を持っている場合、名前付きパイプが侵害されると、攻撃者はその高いレベルのアクセス許可を取得することになります。
  • 名前付きパイプのサービス拒否
    前述の「名前付きパイプのハイジャック」と同じ名前付きパイプのシナリオで、イントラネット内部にいる認証されていないユーザーが、SQL Server を実行するシステムがリッスン中の特定の名前付きパイプに対して非常に大きなパケットを送信して、SQL Server の応答を停止させる可能性があります。

    この脆弱性によって、攻撃者が任意のコードを実行したり、アクセス権を昇格させたりすることはできません。ただし、サービス拒否の状態が発生した場合、サーバーの機能を回復するためにサーバーの再起動が必要になることがあります。
  • SQL Server のバッファ オーバーラン
    Windows の特定の機能に存在する問題により、SQL Server を実行するシステムに直接ログオンできる権限を持つ認証されたユーザーが、特殊なパケットを作成する可能性があります。そのパケットがシステムのリッスン中のローカル プロシージャ コール (LPC) ポートに送信されると、バッファ オーバーランが発生する可能性があります。この脆弱性が悪用されると、制限されたアクセス権を持つユーザーが、SQL Server サービス アカウントのアクセス権レベルまで自分自身のアクセス権を昇格したり、任意のコードを実行したりする可能性があります。

SQL Server 用の累積的なセキュリティ更新プログラム (MS03-031) のインストール後、SQL Server でパスワードが要求される

SQL Server 用の累積的なセキュリティ更新プログラム (MS03-031) のインストール後、標準の SQL Server ログインを Enterprise Manager で変更すると、パスワードを変更しなかった場合でも SQL Server によってパスワードが要求されます。パスワードを変更しなかった場合、入力内容にかかわらず、このダイアログ ボックスを正常に閉じることができません。この問題を解決または回避するには、次の「サポート技術情報」 (Microsoft Knowledge Base) にある修正プログラムをダウンロードして使用します。
826161 [FIX] 標準の SQL Server ログインを変更後、パスワードの確認入力を求められる

詳細

注意事項

SQL Server 2000 SP3 を実行するコンピュータにこの更新プログラムをインストールする場合は、以下の注意事項に目を通してください。

UDDI (Universal Description, Discovery, and Integration) サービス

Microsoft Windows Server 2003 を実行していて、UDDI サービスがインストールされているコンピュータに、このセキュリティ更新プログラムをインストールする場合、環境に応じて 2 つの方法のいずれかを実行して UDDI サービスを再開する必要があります。UDDI サービスの機能は、ユーザーが開始しない限り通常どおりに再開しません。
  • Windows Server 2003 を実行するコンピュータで他の Web サービスを使用していない場合、Microsoft インターネット インフォメーション サービス (IIS) を再起動することによって、UDDI サービスを再起動できます。IIS を再起動する操作は、IIS をいったん停止した後に再び開始する操作と同じですが、再起動は 1 つのコマンドで実行できます。IIS を再起動する方法には以下の 2 つがあります。
    • インターネット インフォメーション サービス (IIS) マネージャのグラフィカル ユーザー インターフェイスを使用します。
    • IISReset コマンド ライン ユーティリティを使用します。
  • Windows Server 2003 を実行するコンピュータで他の Web サービスを使用している場合、それらのサービスに影響を及ぼさないように再起動することができます。UDDI サービスを再起動するには、次の手順を実行します。
    1. インターネット インフォメーション サービス (IIS) マネージャを起動します。
    2. [アプリケーション プール] フォルダをクリックし、[MSUDDIAppPool] を右クリックします。
    3. [リサイクル] をクリックします。この操作により、コンピュータ上の他の Web サービスに影響を及ぼすことなく、UDDI サービスの動作を再開できます。

名前付きパイプを使用して Microsoft Windows NT 4.0 ベースのコンピュータに接続するとエラー メッセージが表示される

Microsoft SQL Server 2000 を実行する Windows NT 4.0 ベースのコンピュータに名前付きパイプを使用して接続するとき、管理者以外のユーザーが接続を行うと、以下のいずれかのようなエラー メッセージが表示されることがあります。

メッセージ 1
Connection could not be established. SQL Server does not exist
メッセージ 2
Connection could not be established. Access is denied.
このエラー メッセージを解決する修正プログラムを入手するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
823492 SQL Server 2000 または SQL Server 7.0 を実行中の Windows NT 4.0 ベース コンピュータに接続する際のエラー メッセージ "接続できません"

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。

http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

リリース日 : 2003 年 7 月 23 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

このセキュリティ更新プログラムを適用するには、SQL Server 2000 Service Pack 3 (SP3) または Service Pack 3a (SP3a) を実行している必要があります。マイクロソフトでは、SQL Server 2000 Service Pack 3a を推奨します。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
290211 最新の SQL Server 2000 Service Pack の入手方法
: マイクロソフト セキュリティ情報 MS03-031 のセキュリティ更新プログラムをインストールしていない場合は、次の「サポート技術情報」 (Microsoft Knowledge Base) で、このファイルをダウンロードして使用します。
826161 [FIX] 標準の SQL Server ログインを変更後、パスワードの確認入力を求められる

インストール情報

このセキュリティ更新プログラムでは、以下のセットアップ スイッチを使用できます。
元に戻す全体を表示する
スイッチ説明
/s 解凍中のファイルを示すダイアログ ボックスを無効にします。/a スイッチの前に指定する必要があります。
/a 自己解凍形式の実行ファイル (.exe ファイル) を使用して修正プログラムを実行する際に、無人インストールなどのパラメータを指定する場合、このパラメータは /s 以外のすべてのパラメータより前に指定する必要があります。このパラメータは、インストーラを無人モードでインストールする場合は必須です。
/q このスイッチを指定すると、セットアップ プログラムはサイレント モードで実行され、ユーザー インターフェイスが表示されません。
INSTANCENAME SQL Server のインスタンス名です。次のように指定する必要があります。

INSTANCENAME=yourinstancename
BLANKSAPWD SQL 認証で、空白の sa パスワードを使用します。Microsoft Windows NT または Microsoft Windows 2000 を実行するコンピュータでこのパラメータを入力した場合、デフォルトの Windows 認証ログオンは使用されず、空白の sa パスワードを使用してログオンが試行されます。このパラメータの正しい形式は、BLANKSAPWD=1 です。このパラメータは、無人インストールでのみ認識されます。
SAPWD 空白以外の sa パスワードを使用します。このパラメータは、SAPWD=yoursapassword の形式で入力する必要があります。Microsoft Windows NT または Microsoft Windows 2000 を実行するコンピュータでこのパラメータを入力した場合、デフォルトの Windows 認証ログオンは使用されず、BLANKSAPWD が入力されている場合でも、BLANKSAPWD は無効になります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
330391 SQL Server の修正プログラム インストーラ

再起動の必要性

修正プログラム インストーラから再起動の指示がない限り、このセキュリティ更新プログラムの適用後にコンピュータを再起動する必要はありません。

アンインストール情報

更新プログラムをインストールする前に特定のカタログがバックアップされていない限り、この更新プログラムを削除することはできません。詳細については、次の「サポート技術情報」 (Microsoft Knowledge Base) の「修正プログラムの削除またはロールバック」を参照してください。
330391 SQL Server の修正プログラム インストーラ

セキュリティ更新プログラムの置き換えに関する情報

このセキュリティ更新プログラムを適用しても、他の SQL Server 2000 Service Pack 3 (SP3) セキュリティ更新プログラムが置き換えられることはありません。

ファイル情報

   日付           時刻   バージョン         サイズ     ファイル名
   ------------------------------------------------------------------
   2003/05/31  11:45  2000.80.818.0     78,400  console.exe     
   2003/06/24  18:01  2000.80.818.0     33,340  dbmslpcn.dll    
   2003/04/24  19:12                   786,432  distmdl.ldf     
   2003/04/24  19:12                 2,359,296  distmdl.mdf     
   2003/01/29  18:55                       180  drop_repl_hotfix.sql  
   2003/04/07  12:15  2000.80.801.0  1,557,052  dtsui.dll       
   2003/04/23  19:51                   747,927  instdist.sql    
   2003/05/02  18:56                     1,581  inst_repl_hotfix.sql  
   2003/02/07  23:40  2000.80.765.0     90,692  msgprox.dll     
   2003/03/31  19:07                     1,873  odsole.sql      
   2003/04/04  18:46  2000.80.800.0     62,024  odsole70.dll    
   2003/04/02  18:58  2000.80.796.0     57,856  osql.exe        
   2003/04/02  16:15  2000.80.797.0    279,104  pfutil80.dll    
   2003/04/04  14:27                 1,083,467  replmerg.sql    
   2003/04/04  14:53  2000.80.798.0    221,768  replprov.dll    
   2003/02/07  23:40  2000.80.765.0    307,784  replrec.dll     
   2003/05/04  17:05                 1,085,874  replsys.sql     
   2003/05/31  18:01  2000.80.818.0    492,096  semobj.dll      
   2003/05/31  18:37  2000.80.818.0    172,032  semobj.rll      
   2003/05/28  17:29                   115,522  sp3_serv_uni.sql
   2003/05/31  18:01  2000.80.818.0  4,215,360  sqldmo.dll      
   2003/04/07  10:44                    25,172  sqldumper.exe   
   2003/03/19  18:29  2000.80.789.0     32,768  sqlevn70.rll    
   2003/04/23  23:15  2000.80.811.0    176,640  sqlmap70.dll    
   2003/02/07  23:40  2000.80.765.0     57,920  sqlrepss.dll    
   2003/05/31  18:35  2000.80.818.0  7,544,916  sqlservr.exe    
   2003/05/31  18:02                12,739,584  sqlservr.pdb    
   2003/02/07  23:40  2000.80.765.0     45,644  sqlvdi.dll      
   2003/06/24  18:01  2000.80.818.0     33,340  ssmslpcn.dll    
   2003/05/31  18:01  2000.80.818.0     82,492  ssnetlib.dll    
   2003/05/31  18:01  2000.80.818.0     25,148  ssnmpn70.dll    
   2003/05/31  18:01  2000.80.818.0    158,240  svrnetcn.dll    
   2003/05/31  11:59  2000.80.818.0     76,416  svrnetcn.exe    
   2003/04/30  16:52  2000.80.816.0     45,132  ums.dll         
   2003/04/30  16:52                   132,096  ums.pdb         
   2003/02/27  18:49  2000.80.778.0     98,816  xpweb70.dll     

動作の検証

実行している SQL Server のバージョンを確認するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の情報を使用してください。
321185 [HOWTO] SQL Server Service Pack のバージョンおよびエディションを識別する方法
このセキュリティ更新プログラムを適用した後に、次のコマンドを実行します。
SELECT serverproperty('productversion') 

SELECT @@Version
次の結果が返されます。
8.00.818

関連情報

このセキュリティ更新プログラムの詳細については、次のマイクロソフト セキュリティ情報を参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-031.mspx
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
824684 マイクロソフトのソフトウェアの更新で使用される一般的な用語の説明

プロパティ

文書番号: 821277 - 最終更新日: 2006年1月27日 - リビジョン: 7.2
この資料は以下の製品について記述したものです。
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
キーワード:?
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com