MS03-031: Beveiligingspatch voor SQL Server 2000 Service Pack 3

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 821277 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Microsoft distribueert oplossingen voor beveiligingsproblemen voor SQL Server 2000 als één downloadbaar bestand. Aangezien de oplossingen cumulatief zijn, bevat elke nieuwe versie de hotfixes en oplossingen die ook in de vorige versie met oplossingen voor SQL Server 2000 zijn opgenomen. U hoeft dus niet eerdere versies te installeren voordat u de meest recente beveiligingspatch installeert.

Als u meer informatie wilt over het nieuwste servicepack voor Microsoft SQL Server 2000, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
290211Het meest recente servicepack voor SQL Server 2000 ophalen

Inleiding

Dit Microsoft Knowledge Base-artikel bevat een lijst met alle beveiligingsoplossingen die beschikbaar zijn voor SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) en SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Belangrijke opmerkingen

  • Dit cumulatieve pakket bevat geen beveiligingsoplossingen van Microsoft Data Access Components (MDAC) en Analysis Services.

Hieronder ziet u een overzicht van de beveiligingsproblemen die door deze beveiligingspatch worden verholpen:
  • Overname van named pipes
    SQL Server maakt tijdens het starten een specifieke named pipe en luistert vervolgens op deze named pipe naar inkomende verbindingen met de server. Een named pipe is een specifiek benoemd eenrichtings- of tweerichtingskanaal voor communicatie tussen een pipe-server en een of meer pipe-clients. SQL Server controleert de named pipe om na te gaan welke verbindingen zich kunnen aanmelden bij het systeem waarop SQL Server wordt uitgevoerd, voor het uitvoeren van query's op gegevens die zich op de server bevinden.

    Door een lek in de controlemethode voor de named pipe kan een hacker die lokaal werkt op het systeem met SQL Server, de named pipe overnemen wanneer een andere client een geverifieerd aanmeldingswachtwoord gebruikt om zich aan te melden. Daardoor kan de hacker controle krijgen over de named pipe op hetzelfde machtigingsniveau als de gebruiker die probeert verbinding te maken. Als de gebruiker die extern verbinding probeert te maken, een hoger machtigingsniveau heeft dan de hacker, krijgt de hacker de rechten van die gebruiker wanneer de named pipe wordt gekraakt.
  • DoS (Denial of Service) door named pipes
    In hetzelfde scenario dat wordt vermeld onder 'Overname van named pipes' hierboven, kan een niet-geverifieerde gebruiker die lokaal op het intranet werkt, een uitermate groot pakket sturen naar een specifieke named pipe waarop het systeem met SQL Server luistert. Dat kan ertoe leiden dat het systeem niet meer reageert.

    Hoewel dit lek een hacker niet de mogelijkheid biedt om willekeurige programmacode uit te voeren of om zijn of haar machtigingsniveau te verhogen, kan er wel een DoS-situatie (Denial of Service) ontstaan waardoor de server opnieuw moet worden opgestart om alle functionaliteit te herstellen.
  • Bufferoverloop in SQL Server
    Door een lek in een specifieke Windows-functie is een niet-geverifieerde gebruiker die zich rechtstreeks kan aanmelden bij het systeem waarop SQL Server wordt uitgevoerd, in staat een speciaal samengesteld pakket te maken dat een bufferoverloop kan veroorzaken wanneer het pakket naar de LPC-poort (Local Procedure Call) wordt gestuurd. Daardoor kan een gebruiker met een beperkt machtigingsniveau voor het systeem zijn of haar niveau verhogen tot dat van de SQL Server-serviceaccount, of willekeurige programmacode laten uitvoeren.

SQL Server vraagt u een wachtwoord in te voeren nadat u MS03-031:MS03-031: Cumulatieve beveiligingspatch voor SQL Server hebt geïnstalleerd

Wanneer u na de installatie van 'MS03-031: Cumulatieve beveiligingspatch voor SQL Server' met Enterprise Manager wijzigingen aanbrengt in een standaard SQL Server-aanmelding wordt u gevraagd uw wachtwoord in te voeren, zelfs als u het wachtwoord niet hebt gewijzigd. Als u het wachtwoord niet hebt gewijzigd, kunt u het dialoogvenster niet met succes sluiten, welke invoer u ook opgeeft. U kunt dit probleem oplossen of vermijden door de oplossing uit het volgende Microsoft Knowledge Base-artikel te downloaden en te gebruiken:
826161FIX: U wordt gevraagd het wachtwoord te bevestigen nadat u een standaard SQL Server-aanmelding hebt gewijzigd

Meer informatie

Belangrijke opmerkingen

Lees deze belangrijke opmerkingen over de installatie van deze patch op een computer waarop SQL Server 2000 SP3 wordt uitgevoerd.

UDDI-services (Universal Description, Discovery and Integration)

Als u deze beveiligingspatch installeert op een computer met Microsoft Windows Server 2003 waarop UDDI-services zijn geïnstalleerd, moet u, afhankelijk van uw situatie, een van twee mogelijke acties ondernemen om de UDDI-services opnieuw te starten. Pas dan zullen de UDDI-services weer normaal functioneren.
  • Als er geen andere webservice in gebruik is op de computer met Windows Server 2003, kunt u de UDDI-services weer starten door Microsoft Internet Information Services (IIS) opnieuw te starten. Het opnieuw starten van IIS is hetzelfde als eerst IIS stoppen en vervolgens weer starten, alleen wordt dat nu met één enkele opdracht gedaan. Er zijn twee manieren om IIS opnieuw te starten:
    • Gebruik de grafische gebruikersinterface van IIS-beheer.
    • Gebruik het opdrachtregelprogramma IISReset.
  • Als er andere webservices in gebruik zijn op de computer met Windows Server 2003, is het mogelijk dat u deze niet wilt onderbreken. Ga als volgt te werk om de UDDI-services opnieuw te starten:
    1. Start IIS-beheer.
    2. Ga naar de map Groepen van toepassingen en klik met de rechtermuisknop op het pictogram MSUDDIAppPool.
    3. Klik op de menuoptie Recyclen. Daardoor worden de UDDI-services weer geactiveerd zonder dat andere webservices op de computer worden onderbroken.

Er wordt een foutbericht weergegeven wanneer u met behulp van named pipes verbinding maakt met een Microsoft Windows NT 4.0-computer

Wanneer u met behulp van named pipes verbinding maakt met een Windows NT 4.0-computer waarop Microsoft SQL Server 2000 wordt uitgevoerd, en die verbinding wordt gemaakt door een andere gebruiker dan de beheerder, kan een van de volgende foutberichten worden weergegeven:

Bericht 1
Kan geen verbinding maken. SQL Server bestaat niet
Bericht 2
Kan geen verbinding maken. Toegang geweigerd.
Voor informatie over het ophalen van een hotfix om dit foutbericht op te lossen klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
823492Foutbericht 'Kan geen verbinding maken' als u verbinding probeert te maken met een computer met Windows NT 4.0 waarop SQL Server 2000 of SQL Server 7.0 wordt uitgevoerd

Downloadgegevens

U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:

http://www.microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Releasedatum: 23 juli 2003

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591Microsoft-ondersteuningsbestanden downloaden van online services
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.

Voorwaarden

Deze beveiligingspatch vereist SQL Server 2000 Service Pack 3 (SP3) of Service Pack 3a (SP3a). Microsoft adviseert SQL Server 2000 Service Pack 3a.

Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
290211 Het meest recente servicepack voor SQL Server 2000 ophalen
Opmerking: als u de beveiligingspatch voor Microsoft Security Bulletin MS03-031 niet hebt geïnstalleerd, downloadt en gebruikt u het bestand dat beschikbaar is in het volgende Microsoft Knowledge Base-artikel:
826161FIX: U wordt gevraagd het wachtwoord te bevestigen nadat u een standaard SQL Server-aanmelding hebt gewijzigd

Installatiegegevens

Deze beveiligingspatch kan worden geïnstalleerd met de volgende Setup-schakelopties.
Deze tabel samenvouwenDeze tabel uitklappen
SchakeloptieBeschrijving
sHiermee schakelt u het voortgangsvenster voor zelfstandig extraheren uit. Moet vóór de schakeloptie /a staan.
/aDeze parameter moet vóór alle parameters staan, behalve vóór /s als u de hotfix uitvoert met de zelf-uitpakkende EXE, en u parameters wilt opnemen voor installaties zonder toezicht. Deze parameter is vereist wanneer de installatie zonder toezicht moet worden uitgevoerd.
/qDeze schakeloptie zorgt ervoor dat het installatieprogramma wordt uitgevoerd in de stille modus zonder gebruikersinterface.
INSTANCENAMENaam van het SQL Server-exemplaar. De syntaxis is de volgende:

INSTANCENAME=naamexemplaar
BLANKSAPWDBetekent een blanco sa-wachtwoord voor SQL-verificatie. Als u deze parameter invoert op computers waarop Microsoft Windows NT of Microsoft Windows 2000 wordt uitgevoerd, wordt de standaard Windows-verificatieaanmelding overschreven en wordt geprobeerd een aanmelding te krijgen met een blanco sa-wachtwoord. De juiste syntaxis voor deze parameter is BLANKSAPWD=1. Deze parameter is uitsluitend geldig voor installaties zonder toezicht.
SAPWDNiet-blanco sa-wachtwoord. Als u deze parameter invoert, moet deze de syntaxis SAPWD=uwsawachtwoord hebben. Deze parameter overschrijft de standaard Windows-verificatie op computers waarop Windows NT of Windows 2000 wordt uitgevoerd, of?indien ingevoerd?de parameter BLANKSAPWD.
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
330391Installatieprogramma van hotfix voor SQL Server

Computer opnieuw opstarten

U hoeft de computer niet opnieuw te starten nadat u deze beveiligingspatch hebt toegepast, tenzij dit tijdens de installatie van de hotfix wordt gevraagd.

Informatie over verwijderen

Het verwijderen van deze patch wordt niet ondersteund, tenzij vóór de installatie van deze patch van bepaalde catalogi reservekopieën zijn gemaakt. Zie de sectie 'How to Remove or Rollback the Hotfix' in het volgende Microsoft Knowledge Base-artikel voor meer informatie:
330391Installatieprogramma van hotfix voor SQL Server

Informatie over de vervanging van beveiligingspatches

Deze beveiligingspatch vervangt geen andere beveiligingspatches voor SQL Server 2000 Service Pack 3 (SP3).

Bestandsgegevens

De Engelse versie van deze beveiligingspatch heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere bestandskenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.
   Datum        Tijd   Versie          Grootte          Bestandsnaam
   ----------------------------------------------------------------------------
   31-mei-2003  18:45  2000.80.818.0      78.400 bytes  Console.exe      
   25-jun-2003  01:01  2000.80.818.0      33.340 bytes  Dbmslpcn.dll     
   25-apr-2003  02:12                    786.432 bytes  Distmdl.ldf
   25-apr-2003  02:12                  2.359.296 bytes  Distmdl.mdf
   30-jan-2003  01:55                        180 bytes  Drop_repl_hotfix.sql
   07-apr-2003  19:15  2000.80.801.0   1.557.052 bytes  Dtsui.dll        
   24-apr-2003  02:51                    747.927 bytes  Instdist.sql
   03-mei-2003  01:56                      1.581 bytes  Inst_repl_hotfix.sql
   08-feb-2003  06:40  2000.80.765.0      90.692 bytes  Msgprox.dll      
   01-apr-2003  02:07                      1.873 bytes  Odsole.sql
   07.05.00  07:04:00                      1.873 bytes  Odsole.sql
   02-apr-2003  21:48  2000.80.796.0      57.904 bytes  Osql.exe         
   02-apr-2003  23:15  2000.80.797.0     279.104 bytes  Pfutil80.dll     
   04-apr-2003  21:27                  1.083.467 bytes  Replmerg.sql
   04-apr-2003  21:53  2000.80.798.0     221.768 bytes  Replprov.dll     
   08-feb-2003  06:40  2000.80.765.0     307.784 bytes  Replrec.dll      
   05-mei-2003  00:05                  1.085.874 bytes  Replsys.sql
   31.05.03  01:01  2000.80.818.0     492.096 bytes  Semobj.dll
   31-mei-2003  18:27  2000.80.818.0     172.032 bytes  Semobj.rll
   29-mei-2003  00:29                    115.944 bytes  Sp3_serv_uni.sql
   01-jun-2003  01:01  2000.80.818.0   4.215.360 bytes  Sqldmo.dll       
   07-apr-2003  17:44                     25.172 bytes  Sqldumper.exe    
   19-mrt-2003  18:20  2000.80.789.0      28.672 bytes  Sqlevn70.rll
   24-apr-2003  05:39  2000.80.811.0     176.696 bytes  Sqlmap70.dll     
   08-feb-2003  06:40  2000.80.765.0      57.920 bytes  Sqlrepss.dll     
   01-jun-2003  01:02  2000.80.818.0   7.544.916 bytes  Sqlservr.exe     
   01-jun-2003  01:02                 12.739.584 bytes  Sqlservr.pdb
   08-feb-2003  06:40  2000.80.765.0      45.644 bytes  Sqlvdi.dll       
   25-jun-2003  01:01  2000.80.818.0      33.340 bytes  Ssmslpcn.dll     
   01-jun-2003  01:01  2000.80.818.0      82.492 bytes  Ssnetlib.dll     
   01-jun-2003  01:01  2000.80.818.0      25.148 bytes  Ssnmpn70.dll     
   01-jun-2003  01:01  2000.80.818.0     158.240 bytes  Svrnetcn.dll     
   31-mei-2003  18:59  2000.80.818.0      76.416 bytes  Svrnetcn.exe     
   30-apr-2003  23:52  2000.80.816.0      45.132 bytes  Ums.dll          
   30-apr-2003  23:52                    132.096 bytes  Ums.pdb
   28-feb-2003  01:34  2000.80.778.0      98.872 bytes  Xpweb70.dll

Controle

Aan de hand van het volgende Microsoft Knowledge Base-artikel kunt u nagaan welke SQL Server-versie u uitvoert:
321185Vaststellen welke versie en editie van SQL Server is geïnstalleerd
Nadat u deze beveiligingspatch hebt toegepast, voert u een van de volgende instructies uit:
SELECT serverproperty('productversie') 

SELECT @@Version
Het volgende moet worden geretourneerd:
8.00.818

Referenties

Zie het volgende Microsoft Security Bulletin voor meer informatie over deze beveiligingsupdate:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
824684Beschrijving van de standaardterminologie die wordt gebruikt om software-updates van Microsoft te beschrijven

Eigenschappen

Artikel ID: 821277 - Laatste beoordeling: dinsdag 24 januari 2006 - Wijziging: 7.2
De informatie in dit artikel is van toepassing op:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Trefwoorden: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com