MS03-031: Sikkerhetsoppdatering for SQL Server 2000 Service Pack 3

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 821277 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Sammendrag

Microsoft distribuerer sikkerhetsoppdateringer for SQL Server 2000 som én nedlastbar fil. Ettersom sikkerhetsoppdateringene er kumulative, inneholder hver nye utgivelse alle hurtigreparasjonene og sikkerhetsreparasjonene som var inkludert i den forrige sikkerhetsreparasjonen for SQL Server 2000. Du trenger ikke å installere en tidligere sikkerhetsoppdatering før du installerer den nyeste.

Hvis du vil ha mer informasjon om siste oppdateringspakke for Microsoft SQL Server 2000, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
290211 Slik får du tak i den seneste oppdateringspakken for SQL Server 2000 (denne artikkelen kan være på engelsk)

INNLEDNING

Denne Microsoft Knowledge Base-artikkelen inneholder en liste over alle sikkerhetsreparasjonene som er tilgjengelig for SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) og SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Viktige merknader

  • Denne kumulative pakken inneholder ikke sikkerhetsreparasjonene i Microsoft Data Access Components (MDAC) og Analysis Services.

Her er en liste over sikkerhetsproblemene som rettes opp av denne sikkerhetsoppdateringen:
  • Kontroll over navngitt datakanal
    Når SQL-serveren starter, oppretter den en bestemt navngitt datakanal som den deretter lytter etter innkommende tilkoblinger til serveren på. En navngitt datakanal er en én-veis eller to-veis bestemt navngitt datakanal for kommunikasjon mellom en datakanalserver og én eller flere datakanalklienter. SQL-serveren kontrollerer den navngitte datakanalen for å verifisere hvilke tilkoblinger som kan logge seg på systemet som kjører SQL-server, slik at det kan kjøres spørringer mot data som er lagret på serveren.

    Det er en feil i kontrollmetoden for den navngitte datakanalen som kan føre til at en angriper som er lokalt på systemet som kjører SQL-server, kan få kontroll over den navngitte datakanalen når en annen klient bruker et godkjent påloggingspassord til å logge seg på. Dette gir angriperen kontroll over den navngitte datakanalen på samme tillatelsesnivå som brukeren som prøver å koble seg til. Hvis brukeren som prøver å koble seg til eksternt, har et høyere tillatelsesnivå enn angriperen, vil angriperen få de samme rettighetene når den navngitte datakanalen skades.
  • Avvisning av tjeneste (denial of service) for navngitt datakanal
    I samme scenario for navngitte datakanaler som er nevnt i avsnittet Kontroll over navngitt datakanal i denne artikkelen, kan en ikke godkjent bruker som er lokalt på intranettet, sende en svært stor pakke til en bestemt navngitt datakanal der systemet som kjører SQL-server, lytter. Dette kan føre til at serveren ikke svarer.

    Dette sikkerhetsproblemet gir ikke en angriper tilgang til å kjøre en tilfeldig kode eller øke tilgangsnivåene. Tjenestenekt (denial of service) kan imidlertid fortsatt forekomme. Det betyr at du må starte serveren på nytt for å gjenopprette funksjonaliteten.
  • Bufferoverløp for SQL-server
    Det er en feil i en bestemt funksjon i Windows som kan føre til at en godkjent bruker som har direkte tilgang, kan logge seg på systemet som kjører SQL-server, og få mulighet til å opprette en spesiallaget pakke som kan føre til bufferoverløp når den sendes til lytteporten for lokalt prosedyrekall (LPC) på systemet. Hvis denne muligheten utnyttes, kan det gi en bruker med begrensede tillatelser på systemet mulighet til å øke tillatelsene til samme nivå som tjenestekontoen for SQL-serveren, eller føre til at en tilfeldig kode kjøres.

SQL Server ber deg angi et passord etter at du har installert MS03-031: Kumulativ sikkerhetsoppdatering for SQL-server

Når du har installert MS03-031: Kumulativ sikkerhetsoppdatering for SQL Server, og du deretter gjør endringer i en standard SQL-serverpålogging ved hjelp av Enterprise Manager, blir du bedt om å angi et passord, selv om du ikke endret passordet. Hvis du ikke endret passordet, kan du ikke lukke dialogboksen, uansett hvilken oppføring du bruker. Du kan løse eller unngå dette problemet ved å laste ned og bruke hurtigreparasjonsfilen i følgende Microsoft Knowledge Base-artikkel:
826161 HURTIGREPARASJON: Du blir bedt om å bekrefte passord etter at du har endret en standard SQL-serverpålogging (denne artikkelen kan være på engelsk)

Mer informasjon

Viktige merknader

Les gjennom disse viktige merknadene om installasjon av sikkerhetsoppdateringen på en datamaskin som kjører SQL Server 2000 SP3.

Tjenester for universell beskrivelse, oppdagelse og integrasjon (UDDI)

Hvis du installerer denne sikkerhetsoppdateringen på en datamaskin som kjører Microsoft Windows Server 2003, og UDDI-tjenester er installert, må du gjøre ett av to for å starte UDDI-tjenester på nytt, avhengig av omstendighetene. UDDI-tjenestene vil ikke fungere normalt før du gjør dette.
  • Hvis ingen annen webtjeneste er i bruk på datamaskinen som kjører Windows Server 2003, kan du starte UDDI-tjenestene på nytt ved å starte Microsoft Internet Information Services (IIS) på nytt. Å starte IIS på nytt er det samme som å avslutte IIS og deretter starte dem på nytt, bortsett fra at det gjøres med én kommando. Du kan starte IIS på nytt på to måter:
    • Ved å bruke det grafiske brukergrensesnittet til IIS Manager.
    • Ved å bruke kommandolinjeverktøyet IISReset.
  • Hvis andre webtjenester er i bruk på datamaskinen som kjører Windows Server 2003, er det ikke sikkert du ønsker å påvirke operasjonen deres. Følg disse trinnene for å starte UDDI-tjenestene på nytt:
    1. Start verktøyet IIS Manager.
    2. Gå til mappen Applikasjonssamvirke, og høyreklikk deretter ikonet MSUDDIAppPool.
    3. Klikk for å velge menyalternativet Resirkuler. Når du gjør dette, kan UDDI-tjenestene gjenoppta operasjonen uten å påvirke noen annen webtjeneste på maskinen.

Det vises en feilmelding når du kobler til en Microsoft Windows NT 4.0-basert datamaskin ved hjelp av navngitte datakanaler

Når du kobler til en Microsoft Windows NT 4.0-basert datamaskin som kjører Microsoft SQL Server 2000, ved hjelp av navngitte datakanaler, og den tilkoblingen gjøres av en bruker som ikke er administrator, kan du få en feilmelding som ligner på en av disse:

Melding 1
Kan ikke koble til. SQL-serveren finnes ikke.
Melding 2
Kan ikke koble til. Ingen tilgang.
Hvis du vil ha en hurtigreparasjon for å løse feilmeldingen, kan du se i følgende artikkel i Microsoft Knowledge Base:
823492 Du får feilmeldingen "Kan ikke koble til" når du bruker navngitte datakanaler til å koble til en Windows NT 4.0-basert datamaskin som kjører SQL Server 2000 eller SQL Server 7.0 (denne artikkelen kan være på engelsk)

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Utgivelsesdato: 23. juli 2003

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet, noe som bidrar til å forhindre at uvedkommende gjør endringer i filen.

Forutsetninger

Denne sikkerhetsoppdateringen krever SQL Server 2000 Service Pack 3 (SP3) eller Service Pack 3a (SP3a). Microsoft anbefaler SQL Server 2000 Service Pack 3a.

Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
290211 Slik får du tak i den seneste oppdateringspakken for SQL Server 2000 (denne artikkelen kan være på engelsk)
Obs!  Hvis du ikke har installert sikkerhetsoppdateringen for Microsofts sikkerhetsbulletin MS03-031, laster du ned og bruker filen som er tilgjengelig i følgende Microsoft Knowledge Base-artikkel:
826161 HURTIGREPARASJON: Du blir bedt om å bekrefte passord etter at du har endret en standard SQL-serverpålogging (denne artikkelen kan være på engelsk)

Installasjonsinformasjon

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
Skjul denne tabellenVis denne tabellen
KommandolinjebryterBeskrivelse
sDeaktiverer forløpsdialogboksen for selvutpakking. Må komme foran /a-bryteren.
/aDenne parameteren må komme foran alle parametere unntatt /s hvis du kjører hurtigreparasjonen ved å bruke den selvutpakkende EXE-filen, og du vil inkludere parametere for uovervåkede installasjoner. Denne parameteren er nødvendig for at installasjonsprogrammet skal kjøres i uovervåket modus.
/qDenne bryteren forårsaker at installasjonsprogrammet kjøres i stille modus uten brukergrensesnitt.
INSTANCENAMENavnet på forekomsten av SQL Server. Du må angi den slik:

INSTANCENAME=navnet på instansen
BLANKSAPWDBetyr et tomt sa-passord for SQL-godkjenning. Hvis du skriver inn denne parameteren på datamaskiner som kjører Microsoft Windows NT eller Microsoft Windows 2000, overstyres standard pålogging for Windows-godkjenning, og pålogging forsøkes utført med et tomt sa-passord. Det riktige formatet for denne parameteren er BLANKSAPWD=1. Denne parameteren gjenkjennes bare for uovervåkede installasjoner.
SAPWDIkke tomt sa-passord. Hvis du skriver inn denne parameteren, må den ha formen SAPWD=ditt sa-passord. Denne parameteren overskriver standard Windows-godkjenning på datamaskiner som kjører Windows NT eller Windows 2000, eller BLANKSAPWD hvis den er oppgitt.
Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
330391 Installasjonsprogram for SQL Server-hurtigreparasjon (denne artikkelen kan være på engelsk)

Omstartskrav

Du trenger ikke starte datamaskinen på nytt etter at du har brukt denne sikkerhetsoppdateringen, hvis du ikke blir bedt om det av installasjonsprogrammet for hurtigreparasjonen.

Informasjon om fjerning

Denne oppdateringen kan ikke fjernes hvis ikke bestemte kataloger ble sikkerhetskopiert før sikkerhetsoppdateringen ble installert. Hvis du vil ha mer informasjon, kan du se avsnittet Slik fjerner eller tilbakefører du hurtigreparasjonen (denne artikkelen kan være på engelsk) i følgende Microsoft Knowledge Base-artikkel:
330391 Installasjonsprogram for SQL Server-hurtigreparasjon (denne artikkelen kan være på engelsk)

Informasjon om erstatning av sikkerhetsoppdatering

Denne sikkerhetsoppdateringen erstatter ingen andre sikkerhetsoppdateringer for SQL Server 2000 Service Pack 3 (SP3).

Filinformasjon

Den engelske versjonen av denne sikkerhetsoppdateringen har filattributtene som er oppført i tabellen nedenfor (eller nyere). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone i verktøyet Dato og klokkeslett i Kontrollpanel.
   Dato         Tid    Versjon        Størrelse         Filnavn   ---------------------------------------------------------------------------- 31.05.2003  18:45  2000.80.818.0      78 400 byte  Console.exe 25.07.2003  01:01  2000.80.818.0      33 340 byte  Dbmslpcn.dll 25.04.2003  02:12                    786 432 byte  Distmdl.ldf 25.04.2003  02:12                  2 359 296 byte  Distmdl.mdf 30.01.2003  01:55                        180 byte  Drop_repl_hotfix.sql 07.04.2003  19:15  2000.80.801.0   1 557 052 byte  Dtsui.dll 24.04.2003  02:51                    747 927 byte  Instdist.sql 03.05.2003  01:56                      1 581 byte  Inst_repl_hotfix.sql 08.02.2003  06:40  2000.80.765.0      90 692 byte  Msgprox.dll 01.04.2003  02:07                      1 873 byte  Odsole.sql 07.05.2000  07:04                      1 873 byte  Odsole.sql 02.04.2003  21:48  2000.80.796.0      57 904 byte  Osql.exe 02.04.2003  23:15  2000.80.797.0     279 104 byte  Pfutil80.dll 04.04.2003  21:27                  1 083 467 byte  Replmerg.sql 04.04.2003  21:53  2000.80.798.0     221 768 byte  Replprov.dll 08.02.2003  06:40  2000.80.765.0     307 784 byte  Replrec.dll 05.05.2003  00:05                  1 085 874 byte  Replsys.sql 31.05.2003  01:01  2000.80.818.0     492 096 byte  Semobj.dll 31.05.2003  18:27  2000.80.818.0     172 032 byte  Semobj.rll 29.05.2003  00:29                    115 944 byte  Sp3_serv_uni.sql 01.06.2003  01:01  2000.80.818.0   4 215 360 byte  Sqldmo.dll 07.04.2003  17:44                     25 172 byte  Sqldumper.exe 19.03.2003  18:20  2000.80.789.0      28 672 byte  Sqlevn70.rll 24.04.2003  05:39  2000.80.811.0     176 696 byte  Sqlmap70.dll 08.02.2003  06:40  2000.80.765.0      57 920 byte  Sqlrepss.dll 01.06.2003  01:02  2000.80.818.0   7 544 916 byte  Sqlservr.exe 01.06.2003  01:02                 12 739 584 byte  Sqlservr.pdb 08.02.2003  06:40  2000.80.765.0      45 644 byte  Sqlvdi.dll 25.06.2003  01:01  2000.80.818.0      33 340 byte  Ssmslpcn.dll 01.06.2003  01:01  2000.80.818.0      82 492 byte  Ssnetlib.dll 01.06.2003  01:01  2000.80.818.0      25 148 byte  Ssnmpn70.dll 01.06.2003  01:01  2000.80.818.0     158 240 byte  Svrnetcn.dll 31.05.2003  18:59  2000.80.818.0      76 416 byte  Svrnetcn.exe 30.04.2003  23:52  2000.80.816.0      45 132 byte  Ums.dll 30.04.2003  23:52                    132 096 byte  Ums.pdb 28.02.2003  01:34  2000.80.778.0      98 872 byte  Xpweb70.dll

Bekreftelse

Hvis du vil fastslå hvilken versjon av SQL Server du kjører, bruker du informasjonen i følgende Microsoft Knowledge Base-artikkel:
321185 Slik identifiserer du versjonen av oppdateringspakken for SQL Server (denne artikkelen kan være på engelsk)
Kjør ett av følgende programmer etter at du har installert denne oppdateringen:
SELECT serverproperty('productversion')

SELECT @@Version
Følgende skal returneres:
8.00.818

Referanser

Hvis du vil ha mer informasjon om denne sikkerhetsoppdateringen, se Microsofts sikkerhetsbulletin:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Hvis du vil ha mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
824684 Beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare

Egenskaper

Artikkel-ID: 821277 - Forrige gjennomgang: 31. januar 2006 - Gjennomgang: 7.2
Informasjonen i denne artikkelen gjelder:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Nøkkelord: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com