MS03-031: Poprawka zabezpieczeń dla programu SQL Server 2000 z dodatkiem Service Pack 3

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 821277 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Firma Microsoft rozpowszechnia poprawki zabezpieczeń programu SQL Server 2000 w jednym pliku do pobrania. Poprawki zabezpieczeń są kumulatywne — każde nowe wydanie zawiera wszystkie poprawki i poprawki zabezpieczeń programu SQL Server 2000 zawarte w poprzednim wydaniu. Przed zainstalowaniem najnowszej poprawki zabezpieczeń nie trzeba instalować poprzedniej.

Aby uzyskać dodatkowe informacje dotyczące najnowszego dodatku Service Pack dla programu Microsoft SQL Server 2000, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
290211 INF: Jak uzyskać najnowszy dodatek Service Pack dla programu SQL Server 2000

WPROWADZENIE

W tym artykule bazy wiedzy Microsoft Knowledge Base znajduje się lista wszystkich poprawek zabezpieczeń, które wydano dla programów SQL Server 2000 z dodatkiem Service Pack 3 (SP3), SQL Server 2000 z dodatkiem Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) z dodatkiem Service Pack 3 (SP3) oraz SQL Server 2000 Desktop Engine (MSDE) z dodatkiem Service Pack 3a (SP3a).

Ważne informacje

  • Ten skumulowany pakiet nie zawiera poprawek zabezpieczeń zawartych w produktach Microsoft Data Access Components (MDAC) i Analysis Services.

Oto lista luk eliminowanych przez tę poprawkę zabezpieczeń:
  • Przejęcie kontroli nad nazwanym potokiem
    Podczas uruchamiania program SQL Server tworzy specjalny nazwany potok dla przychodzących połączeń z serwerem, a następnie go nasłuchuje. Nazwany potok to nazwany, jedno- lub dwukierunkowy kanał służący do komunikacji pomiędzy serwerem potoku a jednym lub większą liczbą klientów potoku. Program SQL Server sprawdza ten nazwany potok, aby stwierdzić, które połączenia mogą zalogować się do systemu z uruchomionym programem SQL Server w celu uruchomienia kwerend dotyczących danych przechowywanych na serwerze.

    Metoda tego sprawdzania nazwanego potoku ma wadę, która umożliwia atakującemu zalogowanemu lokalnie do systemu z uruchomionym programem SQL Server przejęcie kontroli nad tym nazwanym potokiem, gdy inny klient używa do zalogowania się uwierzytelnionego hasła logowania. Umożliwiłoby to atakującemu uzyskanie kontroli nad nazwanym potokiem na tym samym poziomie uprawnień, jaki ma użytkownik próbujący się połączyć. Jeśli użytkownik próbujący się połączyć zdalnie ma wyższy poziom uprawnień niż atakujący, atakujący przejmuje jego prawa po złamaniu zabezpieczeń nazwanego potoku.
  • Odmowa usługi związana z nazwanym potokiem
    W tym samym scenariuszu nazwanych potoków, który opisano w sekcji „Przejęcie kontroli nad nazwanym potokiem” tego artykułu, nieuwierzytelniony użytkownik zalogowany lokalnie do intranetu mógłby być w stanie wysłać bardzo duży pakiet do specjalnego nazwanego potoku, który jest nasłuchiwany przez system z uruchomionym programem SQL Server, i spowodować, że system ten przestanie odpowiadać.

    Ta luka nie pozwala atakującemu na uruchomienie żadnego kodu ani na podwyższenie swoich uprawnień; jednak nadal może istnieć warunek odmowy usługi wymagający ponownego uruchomienia serwera w celu przywrócenia jego działania.
  • Przekroczenie buforu w programie SQL Server
    Pewna określona funkcja systemu Windows ma wadę, która pozwala nieuwierzytelnionemu użytkownikowi, mającemu możliwość bezpośredniego zalogowania się do systemu z programem SQL Server, na utworzenie umiejętnie zmodyfikowanego pakietu, który po wysłaniu go do portu nasłuchującego lokalnego wywoływania procedur w tym systemie może spowodować przekroczenie buforu. Wada ta, pomyślnie wykorzystana, umożliwia użytkownikowi, który ma ograniczone uprawnienia do systemu, podwyższenie swoich uprawnień do poziomu konta usługi programu SQL Server lub uruchomienie dowolnego kodu.

Program SQL Server monituje hasło po zainstalowaniu skumulowanej poprawki zabezpieczeń MS03-031 dla programu SQL Server

Jeśli po zainstalowaniu skumulowanej poprawki zabezpieczeń MS03-31 dla programu SQL Server zostaną wprowadzone zmiany w standardowej procedurze logowania programu SQL Server przy użyciu narzędzia Enterprise Manager, pojawi się monit programu SQL Server o wprowadzenie hasła, nawet jeśli hasło nie zostało zmienione. Bez względu na wpisywany tekst, okno dialogowe będzie można zamknąć dopiero po zmianie hasła. Aby rozwiązać ten problem lub go uniknąć, należy pobrać i zainstalować poprawkę, którą opisano w następującym artykule bazy wiedzy Microsoft Knowledge Base:
826161 POPRAWKA: Po zmianie standardowego logowania programu SQL Server wyświetlany jest monit o potwierdzenie hasła

Więcej informacji

Ważne informacje

Należy przeczytać poniższe ważne uwagi dotyczące instalacji tej poprawki na komputerze z programem SQL Server 2000 z dodatkiem SP3:

Usługi UDDI (Universal Description, Discovery, and Integration)

Jeśli instalujesz tę poprawkę zabezpieczeń na komputerze z programem Microsoft Windows Server 2003 i usługami UDDI, musisz jedno- lub dwukrotnie, w zależności od okoliczności, uruchomić ponownie usługi UDDI. Dopóki tego nie zrobisz, usługi UDDI nie będą działały normalnie.
  • Jeśli na komputerze z systemem Windows Server 2003 nie zainstalowano żadnej innej usługi sieci Web, usługi UDDI można uruchomić ponownie, ponownie uruchamiając Internetowe usługi informacyjne (IIS) firmy Microsoft. Ponowne uruchomienie usług IIS polega na zatrzymaniu usług IIS, a następnie ich uruchomieniu, ale nie przy użyciu pojedynczego polecenia. Istnieją dwa sposoby ponownego uruchomienia usług IIS:
    • przy użyciu graficznego interfejsu użytkownika Menedżera usług IIS,
    • przy użyciu narzędzia wiersza polecenia IISReset.
  • Jeśli na komputerze z systemem Windows Server 2003 zainstalowano inne usługi sieci Web, można uniknąć ich zatrzymywania. Aby ponownie uruchomić usługi UDDI, wykonaj następujące kroki:
    1. Uruchom Menedżera usług IIS.
    2. Zlokalizuj folder Application Pools, a następnie kliknij prawym przyciskiem myszy ikonę MSUDDIAppPool.
    3. Kliknij, aby wybrać polecenie menu Recycle. W ten sposób usługi UDDI wznowią pracę, nie zakłócając działania żadnej innej usługi sieci Web na tym komputerze.

Komunikat o błędzie podczas łączenia się z komputerem z systemem Microsoft Windows NT 4.0 za pomocą nazwanych potoków

Jeśli próba połączenia się z komputerem, na którym zainstalowano system Windows NT 4.0 i program Microsoft SQL Server 2000, przy użyciu potoków nazwanych jest przeprowadzana przez użytkownika innego niż administrator, może pojawić się komunikat o błędzie podobny do jednego z następujących:

Komunikat 1
Nie można ustanowić połączenia. Program SQL Server nie istnieje
Komunikat 2
Nie można ustanowić połączenia. Odmowa dostępu.
Aby uzyskać poprawkę rozwiązującą ten problem, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
823492 Komunikat o błędzie „Nie można ustanowić połączenia” podczas łączenia się z komputerem z systemem Windows NT 4.0, na którym jest uruchomiony program SQL Server 2000 lub SQL Server 7.0

Informacje dotyczące pobierania

Poniższy plik jest udostępniony do pobrania w witrynie Microsoft – Centrum pobierania:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Data wydania: 23 lipca 2003

Aby uzyskać dodatkowe informacje, jak pobierać pliki Pomocy technicznej firmy Microsoft, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonych zabezpieczeniach, które utrudniają nieautoryzowane zmiany w pliku.

Wymagania wstępne

Ta poprawka zabezpieczeń wymaga programu SQL Server 2000 z dodatkiem Service Pack 3 (SP3) lub Service Pack 3a (SP3a). Firma Microsoft zaleca korzystanie z programu SQL Server 2000 z dodatkiem Service Pack 3a.

Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
290211 INF: Jak uzyskać najnowszy dodatek Service Pack dla programu SQL Server 2000
Uwaga: Jeśli nie została zainstalowana poprawka zabezpieczeń, którą opisano w biuletynie Microsoft Security Bulletin MS03-031, należy pobrać i zainstalować plik wskazany w następującym artykule bazy wiedzy Microsoft Knowledge Base:
826161 POPRAWKA: Po zmianie standardowego logowania programu SQL Server wyświetlany jest monit o potwierdzenie hasła

Informacje dotyczące instalacji

Ta poprawka zabezpieczeń obsługuje następujące przełączniki Instalatora.
Zwiń tę tabelęRozwiń tę tabelę
PrzełącznikOpis
sWyłącza okno dialogowe postępu Self Extraction. Musi występować przed przełącznikiem /a.
/aTen parametr musi występować przed wszystkimi innymi parametrami z wyjątkiem /s, jeśli uruchamiasz poprawkę przy użyciu samowyodrębniającego się pliku EXE i chcesz dołączyć parametry instalacji nienadzorowanej. Jest to parametr wymagany w przypadku instalacji nienadzorowanej.
/qTen przełącznik powoduje uruchomienie Instalatora w trybie cichym, bez interfejsu użytkownika.
INSTANCENAMENazwa wystąpienia programu SQL Server. Trzeba ją wprowadzić w następującej formie:

INSTANCENAME=nazwa_wystąpienia_użytkownika
BLANKSAPWDOznacza puste hasło sa dla uwierzytelniania SQL. Jeśli wprowadzisz ten parametr na komputerze z systemem Microsoft Windows NT lub Microsoft Windows 2000, domyślne uwierzytelnianie systemu Windows zostaje zastąpione i następuje próba zalogowania przy użyciu pustego hasła sa. Poprawny format tego parametru jest następujący: BLANKSAPWD=1. Ten parametr jest rozpoznawany tylko w przypadku instalacji nienadzorowanych.
SAPWDNiepuste hasło sa. Parametr ten należy wprowadzić w następującym formacie: SAPWD=nazwa_wystąpienia_użytkownika. Ten parametr zastępuje domyślne uwierzytelnianie systemu Windows na komputerach z systemem Windows NT lub Windows 2000 albo parametr BLANKSAPWD, jeśli zostanie wprowadzony.
Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
330391 INF: Instalator poprawek programu SQL Server

Wymagania dotyczące ponownego uruchomienia

Po zastosowaniu tej poprawki zabezpieczeń nie jest wymagane ponowne uruchomienie komputera, chyba że pojawi się odpowiedni monit Instalatora poprawki.

Informacje dotyczące usuwania

Usuwanie tej poprawki zabezpieczeń nie jest obsługiwane, chyba że przed jej zainstalowaniem wykonano kopię zapasową pewnych katalogów. Aby uzyskać więcej informacji zobacz sekcję „Jak usunąć lub wycofać poprawkę” w następującym artykule z bazy wiedzy Microsoft Knowledge Base:
330391 INF: Instalator poprawek programu SQL Server

Informacje dotyczące zastępowania poprawek zabezpieczeń

Ta poprawka zabezpieczeń nie zastępuje innych poprawek zabezpieczeń programu SQL Server 2000 z dodatkiem Service Pack 3 (SP3).

Informacje dotyczące plików

Wersja anglojęzyczna tej poprawki zabezpieczeń ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Universal Time Coordinate). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy skorzystać z karty Strefa czasowa narzędzia Data i godzina w Panelu sterowania.
 Data        Godzina   Wersja             Rozmiar      Nazwa pliku
 ----------------------------------------------------------------------------
 31-maj-2003  18:45  2000.80.818.0      78 400 bajtów  Console.exe
 25-cze-2003  01:01  2000.80.818.0      33 340 bajtów  Dbmslpcn.dll
 25-kwi-2003  02:12                     786 432 bajty  Distmdl.ldf
 25-kwi-2003  02:12                  2 359 296 bajtów  Distmdl.mdf
 30-sty-2003  01:55                        180 bajtów  Drop_repl_hotfix.sql
 07-kwi-2003  19:15  2000.80.801.0    1 557 052 bajty  Dtsui.dll
 24-kwi-2003  02:51                    747 927 bajtów  Instdist.sql
 03-maj-2003  01:56                       1581 bajtów  Inst_repl_hotfix.sql
 08-lut-2003  06:40  2000.80.765.0       90 692 bajty  Msgprox.dll
 01-kwi-2003  02:07                        1873 bajty  Odsole.sql
 07-maj-2000  07:04                        1873 bajty  Odsole.sql
 02-kwi-2003  21:48  2000.80.796.0       57 904 bajty  Osql.exe
 02-kwi-2003  23:15  2000.80.797.0      279 104 bajty  Pfutil80.dll
 04-kwi-2003  21:27                  1 083 467 bajtów  Replmerg.sql
 04-kwi-2003  21:53  2000.80.798.0     221 768 bajtów  Replprov.dll
 08-lut-2003  06:40  2000.80.765.0      307 784 bajty  Replrec.dll
 05-maj-2003  00:05                   1 085 874 bajty  Replsys.sql
 31-maj-2003  01:01  2000.80.818.0     492 096 bajtów  Semobj.dll
 31-maj-2003  18:27  2000.80.818.0      172 032 bajty  Semobj.rll
 29-maj-2003  00:29                     115 944 bajty  Sp3_serv_uni.sql
 01-cze-2003  01:01  2000.80.818.0    4 215 360 bajty  Sqldmo.dll
 07-kwi-2003  17:44                      25 172 bajty  Sqldumper.exe
 19-mar-2003  18:20  2000.80.789.0       28 672 bajty  Sqlevn70.rll
 24-kwi-2003  05:39  2000.80.811.0     176 696 bajtów  Sqlmap70.dll
 08-lut-2003  06:40  2000.80.765.0      57 920 bajtów  Sqlrepss.dll
 01-cze-2003  01:02  2000.80.818.0   7 544 916 bajtów  Sqlservr.exe
 01-cze-2003  01:02                  12 739 584 bajty  Sqlservr.pdb
 08-lut-2003  06:40  2000.80.765.0       45 644 bajty  Sqlvdi.dll
 25-cze-2003  01:01  2000.80.818.0      33 340 bajtów  Ssmslpcn.dll
 01-cze-2003  01:01  2000.80.818.0       82 492 bajty  Ssnetlib.dll
 01-cze-2003  01:01  2000.80.818.0      25 148 bajtów  Ssnmpn70.dll
 01-cze-2003  01:01  2000.80.818.0     158 240 bajtów  Svrnetcn.dll
 31-maj-2003  18:59  2000.80.818.0      76 416 bajtów  Svrnetcn.exe
 30-kwi-2003  23:52  2000.80.816.0       45 132 bajty  Ums.dll
 30-kwi-2003  23:52                    132 096 bajtów  Ums.pdb
 28-lut-2003  01:34  2000.80.778.0       98 872 bajty  Xpweb70.dll

Weryfikacja

Aby ustalić, która wersja programu SQL Server jest zainstalowana, skorzystaj z informacji znajdujących się w następującym artykule bazy wiedzy Microsoft Knowledge Base:
321185 JAK: Identyfikowanie wersji i wydania dodatku Service dla programu SQL Server
po zastosowaniu tej poprawki zabezpieczeń uruchom jedno z następujących poleceń:
SELECT serverproperty('productversion') 

SELECT @@Version
Powinien zostać zwrócony następujący numer wersji:
8.00.818

Materiały referencyjne

Aby uzyskać dodatkowe informacje dotyczące tej poprawki zabezpieczeń, zobacz następujący biuletyn Microsoft Security Bulletin:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft

Właściwości

Numer ID artykułu: 821277 - Ostatnia weryfikacja: 22 stycznia 2006 - Weryfikacja: 7.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Słowa kluczowe: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com