MS03-031: Patch de segurança para o SQL Server 2000 Service Pack 3

Traduções de Artigos Traduções de Artigos
Artigo: 821277 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

A Microsoft distribui as correcções de segurança do SQL Server 2000 na forma de um ficheiro para transferência. Uma vez que as correcções de segurança são cumulativas, cada nova versão inclui todas as correcções genéricas e todas as correcções de segurança incluídas na correcção de segurança anterior do SQL Server 2000. Não é necessário instalar um patch de segurança anterior antes de instalar o mais recente.

Para obter informações adicionais sobre o Service Pack mais recente do Microsoft SQL Server 2000, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
290211 How to obtain the latest SQL Server 2000 service pack

INTRODUÇÃO

Este artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) inclui uma lista de todas as correcções de segurança disponíveis para o SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) e SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Notas importantes

  • Este pacote cumulativo não inclui as correcções de segurança que existem no Microsoft Data Access Components (MDAC) e Analysis Services.

Segue-se uma lista das vulnerabilidades resolvidas por este patch de segurança:
  • Ataque a pipes nomeados
    Quando o SQL Server é iniciado, cria e, em seguida, escuta num pipe nomeado específico, para detectar ligações a receber no servidor. Um pipe nomeado é um canal de um ou dois sentidos especificamente nomeado para a comunicação entre um servidor de pipes e um ou mais clientes de pipes. O SQL Server controla o pipe nomeado para verificar que ligações podem iniciar sessão, no sistema com o SQL Server em execução, para executarem consultas a dados guardados no servidor.

    Existe uma falha no método de verificação do pipe nomeado que pode permitir a um atacante local, em relação ao sistema que executa o SQL Server, atacar (obter o controlo de) o pipe nomeado, quando outro cliente utilizar uma palavra-passe de início de sessão autenticada para iniciar sessão. Isto permite ao atacante obter o controlo do pipe nomeado com o mesmo nível de permissões do utilizador que está a tentar ligar. Se o utilizador que está a tentar ligar remotamente tiver um nível de permissões mais elevado que o atacante, este irá assumir esses direitos quando o pipe nomeado ficar comprometido.
  • Denial-of-service do pipe nomeado
    No mesmo cenário de pipes nomeados referido na secção "Ataque a pipes nomeados" deste artigo, um utilizador não autenticado local, em relação à intranet, poderá conseguir enviar um pacote muito grande para um pipe nomeado específico, no qual o sistema que está a executar o SQL Server efectua a escuta, e fazer com que este deixe de responder.

    Esta vulnerabilidade não permite a um atacante executar código arbitrário nem elevar as respectivas permissões; contudo, poderá ainda existir uma condição de denial-of-service que exija o reinício do servidor para restaurar a funcionalidade.
  • Sobrecarga da memória intermédia do SQL Server
    Existe uma falha numa função específica do Windows que poderá permitir a um utilizador autenticado, com acesso directo para iniciar sessão no sistema que executa o SQL Server, criar um pacote especialmente concebido que, quando enviado para a porta da chamada de procedimento local (LPC, local procedure call) de escuta do sistema, pode provocar uma sobrecarga da memória intermédia. Se esta falha for explorada com êxito, poderá permitir a um utilizador com permissões limitadas no sistema elevar as suas permissões para o nível da conta de serviço do SQL Server, ou levar à execução de código arbitrário.

O SQL Server pede-lhe uma palavra-passe depois de instalar a correcção MS03-031: Patch de segurança cumulativo para o SQL Server

Depois de instalar o "MS03-031: Patch de segurança cumulativo para o SQL Server", quando efectuar alterações a um início de sessão padrão do SQL Server utilizando o Enterprise Manager, o SQL Server pedir-lhe-á uma palavra-passe, mesmo que não a tenha alterado. Caso não tenha alterado a palavra-passe, não consegue fechar a caixa de diálogo com êxito, independentemente da entrada que utilizar. Para resolver ou evitar este problema, transfira e utilize a correcção existente no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
826161 FIX: You are prompted for password confirmation after you change a standard SQL Server login

Mais Informação

Notas importantes

Leia estas notas importantes relativas à instalação deste patch num computador com o SQL Server 2000 SP3.

Serviços UDDI (Universal Description, Discovery, and Integration)

Se instalar este patch de segurança num computador com o Microsoft Windows Server 2003 e os serviços UDDI estiverem instalados, deverá efectuar uma das seguintes acções para reiniciar os serviços UDDI, dependendo das circunstâncias. Os serviços UDDI não retomarão o funcionamento normal até que efectue uma das acções.
  • Se não estiver a ser utilizado nenhum outro serviço da Web no computador com o Windows Server 2003, pode reiniciar os serviços UDDI reiniciando o Microsoft IIS (Serviços de informação Internet - Internet Information Services). Reiniciar o IIS é o mesmo que parar o IIS e, seguida, reiniciá-lo, com a diferença de que é feito através de um único comando. Existem duas maneiras de reiniciar o IIS:
    • Utilizar a interface gráfica do utilizador do gestor do IIS.
    • Utilizar o utilitário de linha de comandos IISReset.
  • Se outros serviços da Web estiverem a ser utilizados no computador com o Windows Server 2003 em execução, poderá não pretender afectar o seu funcionamento. Para reiniciar os serviços UDDI, siga estes passos:
    1. Inicie o utilitário gestor do IIS.
    2. Localize a pasta Agrupamento de aplicações e, em seguida, clique com o botão direito do rato no ícone MSUDDIAppPool.
    3. Clique para seleccionar a opção de menu Reciclar. Procedendo desta forma irá permitir que os serviços UDDI retomem o funcionamento sem afectar quaisquer outros serviços da Web no computador.

Ocorre uma mensagem de erro quando liga a um computador baseado no Microsoft Windows NT 4.0 através de pipes nomeados

Quando liga a um computador baseado no Windows NT 4.0 com o Microsoft SQL Server 2000 em execução, através da utilização de pipes nomeados, e essa ligação é feita por um utilizador não-administrador, poderá receber uma mensagem de erro semelhante à seguinte:

Mensagem 1
Não foi possível estabelecer a ligação. O SQL Server não existe.
Mensagem 2
Não foi possível estabelecer a ligação. Acesso negado.
Para obter uma correcção que resolva esta mensagem de erro, consulte o seguinte artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823492 "Connection could not be established" error message when you connect to a Windows NT 4.0-based computer that is running SQL Server 2000 or SQL Server 7.0

Informações de transferência

O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Data de edição: 23 de Julho de 2003

Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual, disponível na data de publicação do ficheiro. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Pré-requisitos

Este patch de segurança requer o SQL Server 2000 Service Pack 3 (SP3) ou o Service Pack 3a (SP3a). A Microsoft recomenda o SQL Server 2000 Service Pack 3a.

Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
290211 How to obtain the latest SQL Server 2000 service pack
Nota: se não tiver instalado o patch de segurança do boletim de segurança MS03-031 da Microsoft, transfira e utilize o ficheiro disponível no artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) que se segue:
826161 FIX: You are prompted for password confirmation after you change a standard SQL Server login

Informações de instalação

Este patch de segurança suporta os seguintes parâmetros de configuração.
Reduzir esta tabelaExpandir esta tabela
ParâmetroDescrição
sDesactiva a caixa de diálogo de progresso da extracção automática. Deve ser colocado antes do parâmetro /a.
/aEste parâmetro deve ser colocado antes de todos os parâmetros excepto o /s, caso esteja a executar uma correcção utilizando um EXE de extracção automática e pretenda incluir parâmetros para instalações automáticas. Este é um parâmetro obrigatório para que o programa de instalação possa ser executado no modo automático.
/qEste parâmetro provoca a execução do programa de configuração no modo silencioso sem interface do utilizador.
INSTANCENAMENome da instância do SQL Server. Deve introduzi-lo da seguinte forma:

INSTANCENAME=nomedasuainstância
BLANKSAPWDSignifica uma palavra-passe de sa em branco para a autenticação do SQL. Se introduzir este parâmetro em computadores com o Microsoft Windows NT ou Microsoft Windows 2000, o início de sessão predefinido com autenticação do Windows é substituído e o programa de instalação tenta iniciar sessão com uma palavra-passe de sa em branco. O formato correcto para este parâmetro é BLANKSAPWD=1. Este parâmetro é reconhecido apenas para instalações automáticas.
SAPWDPalavra-passe de sa não vazia. Se introduzir este parâmetro, deve fazê-lo no formato SAPWD=suapalavra-passedesa. Este parâmetro substitui a autenticação do Windows predefinida em computadores com o Windows NT ou Windows 2000, ou BLANKSAPWD, se introduzido.
Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
330391 SQL Server hotfix installer

Necessidade de reinício

Não é necessário reiniciar o seu computador depois de aplicar este patch de segurança, a não ser que o programa de instalação da correcção o peça.

Informações de remoção

A remoção deste patch não é suportada, a não ser que tenha sido efectuada uma cópia de segurança de determinados catálogos antes da instalação deste patch de segurança. Para obter mais informações, consulte a secção "How to Remove or Rollback the Hotfix" no artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) que se segue:
330391 SQL Server hotfix installer

Informações sobre a substituição de patches de segurança

Este patch de segurança não substitui quaisquer outros patches de segurança do SQL Server 2000 Service Pack 3 (SP3).

Informações sobre os ficheiros

A versão inglesa deste patch de segurança tem os atributos de ficheiro listados na tabela que se segue (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Coordinated Universal Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a hora UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data e hora (Date and Time) do Painel de controlo (Control Panel).
   Data         Hora   Versão             Tamanho         Ficheiro 
---------------------------------------------------------------------------- 
31-May-2003    18:45    2000.80.818.0     78,400 bytes  Console.exe 
25-Jun-2003    01:01    2000.80.818.0     33,340 bytes  Dbmslpcn.dll 
25-Apr-2003    02:12                     786,432 bytes  Distmdl.ldf 
25-Apr-2003    02:12                   2,359,296 bytes  Distmdl.mdf 
30-Jan-2003    01:55                         180 bytes  Drop_repl_hotfix.sql 
07-Apr-2003    19:15    2000.80.801.0  1,557,052 bytes  Dtsui.dll 
24-Apr-2003    02:51                     747,927 bytes  Instdist.sql 
03-May-2003    01:56                       1,581 bytes  Inst_repl_hotfix.sql 
08-Feb-2003    06:40    2000.80.765.0     90,692 bytes  Msgprox.dll 
01-Apr-2003    02:07                       1,873 bytes  Odsole.sql 
07-May-2000    07:04                       1,873 bytes  Odsole.sql 
02-Apr-2003    21:48    2000.80.796.0     57,904 bytes  Osql.exe 
02-Apr-2003    23:15    2000.80.797.0    279,104 bytes  Pfutil80.dll 
04-Apr-2003    21:27                   1,083,467 bytes  Replmerg.sql 
04-Apr-2003    21:53    2000.80.798.0    221,768 bytes  Replprov.dll 
08-Feb-2003    06:40    2000.80.765.0    307,784 bytes  Replrec.dll 
05-May-2003    00:05                   1,085,874 bytes  Replsys.sql 
31-May-2003    01:01    2000.80.818.0    492,096 bytes  Semobj.dll 
31-May-2003    18:27    2000.80.818.0    172,032 bytes  Semobj.rll 
29-May-2003    00:29                     115,944 bytes  Sp3_serv_uni.sql 
01-Jun-2003    01:01    2000.80.818.0  4,215,360 bytes  Sqldmo.dll 
07-Apr-2003    17:44                      25,172 bytes  Sqldumper.exe 
19-Mar-2003    18:20    2000.80.789.0     28,672 bytes  Sqlevn70.rll 
24-Apr-2003    05:39    2000.80.811.0    176,696 bytes  Sqlmap70.dll 
08-Feb-2003    06:40    2000.80.765.0     57,920 bytes  Sqlrepss.dll 
01-Jun-2003    01:02    2000.80.818.0  7,544,916 bytes  Sqlservr.exe 
01-Jun-2003    01:02                  12,739,584 bytes  Sqlservr.pdb 
08-Feb-2003    06:40    2000.80.765.0     45,644 bytes  Sqlvdi.dll 
25-Jun-2003    01:01    2000.80.818.0     33,340 bytes  Ssmslpcn.dll 
01-Jun-2003    01:01    2000.80.818.0     82,492 bytes  Ssnetlib.dll 
01-Jun-2003    01:01    2000.80.818.0     25,148 bytes  Ssnmpn70.dll 
01-Jun-2003    01:01    2000.80.818.0    158,240 bytes  Svrnetcn.dll 
31-May-2003    18:59    2000.80.818.0     76,416 bytes  Svrnetcn.exe 
30-Apr-2003    23:52    2000.80.816.0     45,132 bytes  Ums.dll 
30-Apr-2003    23:52                     132,096 bytes  Ums.pdb 
28-Feb-2003    01:34    2000.80.778.0     98,872 bytes  Xpweb70.dll

Verificação

Para determinar qual a versão do SQL Server que está a executar, utilize as informações constantes no artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) que se segue:
321185 How to identify your SQL Server service pack version and edition
Depois de aplicar este patch de segurança, execute um dos seguintes comandos:
SELECT serverproperty('productversion') 

SELECT @@Version
Deverá receber a seguinte informação:
8.00.818

Referências

Para obter informações adicionais sobre este patch de segurança, consulte o seguinte boletim de segurança da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
824684 Description of the standard terminology that is used to describe Microsoft software updates

Propriedades

Artigo: 821277 - Última revisão: 23 de janeiro de 2006 - Revisão: 7.2
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Palavras-chave: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com