MS03-031: Исправление для системы безопасности SQL Server 2000 с пакетом обновлений 3 (SP3)

Переводы статьи Переводы статьи
Код статьи: 821277 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Файл с исправлениями для системы безопасности SQL Server 2000 можно загрузить с веб-узла корпорации Майкрософт. Исправления для системы безопасности носят накопительный характер (каждое из них помимо новых содержит все исправления, входившие в состав предыдущих пакетов исправлений для SQL Server 2000). Перед установкой последнего исправления для системы безопасности нет необходимости устанавливать предыдущие версии.

Дополнительные сведения о последнем пакете обновлений для SQL Server 2000 см. в следующей статье базы знаний Майкрософт:
290211 Как получить последний пакет обновления для SQL Server 2000

Введение

Данная статья содержит список всех исправлений для системы безопасности, существующих для сервера SQL Server 2000 с пакетом обновлений 3 (SP3), сервера SQL Server 2000 с пакетом обновлений 3a (SP3a), сервера SQL Server 2000 Desktop Engine (MSDE) с пакетом обновлений 3 (SP3) и сервера SQL Server 2000 Desktop Engine (MSDE) с пакетом обновлений 3a (SP3a).

Важные замечания

  • Данный пакет не содержит исправлений для системы безопасности, которые входят в состав компонентов доступа к данным Microsoft (MDAC) и служб Analysis Services.

Ниже представлен список уязвимостей, устраняемых данным исправлением для системы безопасности.
  • Захват именованного канала
    При запуске SQL Server создает именованный канал, который в дальнейшем им прослушивается для установки входящих подключений. Именованный канал представляет собой односторонний или двусторонний канал для обмена данными между сервером, создавшим канал, и клиентами. SQL Server проверяет именованный канал в поисках подключений клиентов, которые могут входить в систему и выполнять запросы к данным, хранящимся на сервере.

    В используемом методе проверки существует уязвимость, позволяющая злоумышленнику, имеющему доступ к консоли компьютера, на котором запущен SQL Server, осуществлять захват именованного канала в момент, когда другой пользователь входит в систему, и использовать канал с правами данного пользователя. Если пользователь, удаленно входивший в систему, имел больше прав, чем злоумышленник, то после захвата именованного канала злоумышленник получит права этого пользователя.
  • Блокировка именованного канала
    В ситуации аналогичной той, которая описана в разделе «Захват именованного канала» данной статьи, локальный пользователь интрасети, не прошедший проверку подлинности, может отправить большой пакет данных по именованному каналу на компьютер, на котором запущен SQL Server, в результате чего сервер перестанет отвечать на запросы.

    Данная уязвимость не позволяет злоумышленнику запускать произвольный код или расширять свои права, но с ее помощью можно заблокировать работу сервера, после чего для восстановления работоспособности понадобится перезапуск сервера.
  • Переполнение буфера в SQL Server
    В одной из функций Windows существует уязвимость, позволяющая пользователю, прошедшему проверку подлинности и имеющему доступ к консоли сервера, создать и отправить на порт LPC (local procedure call) пакет, вызывающий переполнение буфера. Успешное использование данной уязвимости позволяет злоумышленнику получать права учетной записи службы SQL Server и выполнять любой код.

После установки MS03-031 SQL Server запрашивает пароль: Накопительное исправление для системы безопасности SQL Server

После установки MS03-031: Накопительное исправление для системы безопасности SQL Server, при изменении параметров стандартной учетной записи SQL Server с помощью диспетчера Enterprise Manager SQL Server запрашивает пароль, даже если пароль не изменялся. Если не изменить пароль, закрыть данное диалоговое окно не удается, независимо от того, какие параметры изменялись. Для устранения этой проблемы установите исправление, описанное в следующей статье базы знаний Майкрософт.
826161 Исправление: После изменения данных стандартной учетной записи SQL Server требуется подтверждение пароля (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Дополнительная информация

Внимание!

Прочтите следующие важные замечания об установке данного исправления на компьютер, на котором запущен SQL Server 2000 SP3.

Службы UDDI (Universal Description, Discovery, and Integration)

Если данное исправление для системы безопасности устанавливается на компьютер под управлением Microsoft Windows Server 2003, на котором установлены службы UDDI, воспользуйтесь одним из приведенных ниже способов, чтобы перезапустить службы UDDI. Пока не выполнен перезапуск, службы UDDI работать не будут.
  • Если на компьютере под управлением Windows Server 2003 не запущены другие веб-службы, для перезапуска служб UDDI можно перезапустить информационные службы Интернета (Internet Information Services, IIS). Перезапуск служб IIS представляет собой остановку работы служб и их последующий запуск, однако выполняется одной командой. Существуют два способа перезапуска служб IIS:
    • с помощью графического интерфейса диспетчера IIS;
    • с помощью программы командной строки IISReset.
  • Если на компьютере под управлением Windows Server 2003 запущены другие веб-службы, работу которых не следует прерывать, то для перезапуска служб UDDI выполните следующие действия.
    1. Запустите диспетчер IIS.
    2. Выберите папку Группы приложений и щелкните правой кнопкой мыши значок MSUDDIAppPool.
    3. Выберите пункт меню Повторный запуск. Это позволит службам UDDI возобновить работу, не затрагивая остальные веб-службы компьютера.

При подключении к компьютеру под управлением Microsoft Windows NT 4.0 с помощью именованных каналов появляется сообщение об ошибке

Если пользователь, не являющийся администратором, с помощью именованных каналов подключается к компьютеру под управлением Microsoft Windows NT 4.0, на котором запущен SQL Server 2000, может появляться сообщение об ошибке следующего вида.

Сообщение 1
Не удалось установить подключение. SQL-сервер не существует.
Сообщение 2
Не удалось установить подключение. Отказано в доступе.
Для получения исправления, устраняющего указанную ошибку, обратитесь к следующей статье базы знаний Майкрософт:
823492 При подключении к компьютеру под управлением Windows NT 4.0, где запущен сервер SQL Server 2000 или сервер SQL Server 7.0 появляется сообщение об ошибке «Не удалось установить подключение» (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сведения о загрузке

Загрузите следующий файл с веб-узла центра загрузки корпорации Майкрософт:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Дата выпуска: 23 июля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Необходимые условия

Для установки исправления для системы безопасности необходимо наличие SQL Server 2000 с пакетом обновлений 3 (SP3) или 3a (SP3a). Корпорация Майкрософт рекомендует использовать SQL Server 2000 с пакетом обновлений 3a (SP3a).

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
290211 Как получить последний пакет обновления для SQL Server 2000
Примечание. Если на компьютере не установлено исправление, описанное в бюллетене по безопасности MS03-031, загрузите и установите исправление, описанное в следующей статье базы знаний Майкрософт:
826161 Исправление: После изменения данных стандартной учетной записи SQL Server требуется подтверждение пароля (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сведения об установке

При запуске программы установки исправления для системы безопасности используются следующие параметры командной строки.
Свернуть эту таблицуРазвернуть эту таблицу
ПараметрОписание
sОтключает отображения окна хода выполнения автоматического извлечения файлов. Данный параметр должен указываться до параметра /a.
/aЕсли при запуске самораспаковывающегося файла исправления требуется указать дополнительные параметры для автоматической установки, данный параметр должен указываться раньше остальных параметров, за исключением параметра /s. При использовании автоматического режима установки данный параметр является обязательным.
/qНе отображать интерфейс пользователя.
INSTANCENAMEИмя экземпляра SQL Server. Данный параметр необходимо задавать следующим образом:

INSTANCENAME=имя_экземпляра_сервера
BLANKSAPWDПри проверке подлинности, выполняемой сервером SQL, для учетной записи sa используется пустой пароль. На компьютерах под управлением Microsoft Windows NT или Microsoft Windows 2000 данный параметр имеет преимущества над параметрами проверки подлинности Windows и при входе в систему с помощью учетной записи sa будет использоваться пустой пароль. Синтаксис параметра: BLANKSAPWD=1. Данный параметр используется программой установки только при автоматической установке.
SAPWDПароль учетной записи sa не является пустым. При указании данного параметра необходимо использовать синтаксис SAPWD=пароль_учетной_записи_sa. На компьютерах под управлением Windows NT или Windows 2000 данный параметр имеет преимущества над параметрами проверки подлинности Windows, а также преимущество над параметром BLANKSAPWD, если последний указан.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
330391 Установщик исправлений для SQL Server (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Необходимость перезагрузки

После установки исправления нет необходимости перезагружать компьютер, если программа установки исправления не предложит выполнить перезагрузку.

Сведения об удалении

Удаление данного исправления возможно, только если до установки обновления были сделаны резервные копии определенных папок. За дополнительными сведениями обратитесь к разделу «How to Remove or Rollback the Hotfix» следующей статьи базы знаний Майкрософт:
330391 Установщик исправлений для SQL Server (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сведения о замене исправлений для системы безопасности

Это исправление не заменяет других исправлений для истемы безопасности сервера SQL Server 2000 с пакетом обновлений 3 (SP3).

Сведения о файлах

Английская версия исправления для системы безопасности содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время для файлов указаны в формате универсального всемирного времени (по Гринвичу). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.
Дата         Время     Версия              Размер        Имя файла  ---------------------------------------------------------------------------- 31-май-2003  18:45  2000.80.818.0      78 400  Console.exe 25-июн-2003  01:01  2000.80.818.0      33 340  Dbmslpcn.dll 25-апр-2003  02:12                    786 432  Distmdl.ldf 25-апр-2003  02:12                  2 359 296  Distmdl.mdf 30-янв-2003  01:55                        180  Drop_repl_hotfix.sql 07-апр-2003  19:15  2000.80.801.0   1 557 052  Dtsui.dll 24-апр-2003  02:51                    747 927  Instdist.sql 03-май-2003  01:56                      1 581  Inst_repl_hotfix.sql 08-фев-2003  06:40  2000.80.765.0      90, 692  Msgprox.dll 01-апр-2003  02:07                      1 873  Odsole.sql 07-май-2000  07:04                      1 873  Odsole.sql 02-апр-2003  21:48  2000.80.796.0      57 904   Osql.exe 02-апр-2003  23:15  2000.80.797.0     279 104  Pfutil80.dll 04-апр-2003  21:27                  1 083 467   Replmerg.sql 04-апр-2003  21:53  2000.80.798.0     221 768   Replprov.dll 08-фев-2003  06:40  2000.80.765.0     307 784   Replrec.dll 05-май-2003  00:05                  1 085 874  Replsys.sql 31-май-2003  01:01  2000.80.818.0     492 096   Semobj.dll 31-май-2003  18:27  2000.80.818.0     172 032  Semobj.rll 29-май-2003  00:29                    115 944  Sp3_serv_uni.sql 01-июн-2003  01:01  2000.80.818.0   4 215 360  Sqldmo.dll 07-апр-2003  17:44                     25 172   Sqldumper.exe 19-мар-2003  18:20  2000.80.789.0      28 672  Sqlevn70.rll 24-апр-2003  05:39  2000.80.811.0     176 696  Sqlmap70.dll 08-фев-2003  06:40  2000.80.765.0      57 920  Sqlrepss.dll 01-июн-2003  01:02  2000.80.818.0   7 544 916   Sqlservr.exe 01-июн-2003  01:02                 12 739 584  Sqlservr.pdb 08-фев-2003  06:40  2000.80.765.0      45 644  Sqlvdi.dll 25-июн-2003  01:01  2000.80.818.0      33 340  Ssmslpcn.dll 01-июн-2003  01:01  2000.80.818.0      82 492  Ssnetlib.dll 01-июн-2003  01:01  2000.80.818.0      25 148  Ssnmpn70.dll 01-июн-2003  01:01  2000.80.818.0     158 240  Svrnetcn.dll 31-май-2003  18:59  2000.80.818.0      76 416  Svrnetcn.exe 30-апр-2003  23:52  2000.80.816.0      45 132   Ums.dll 30-апр-2003  23:52                    132 096  Ums.pdb 28-фев-2003  01:34  2000.80.778.0      98 872  Xpweb70.dll

Проверка

Информацию для определении номера используемой версии SQL Server см. в следующей статье базы знаний Майкрософт:
321185 Как определить версию и выпуск пакета обновления для SQL Server
После установки исправления для системы безопасности выполните одну из следующих программ:
SELECT serverproperty('productversion') 

SELECT @@Version
Должен возвращаться следующий результат:
8.00.818

Ссылки

За дополнительными сведениями о данном исправлении обратитесь к следующему бюллетеню по безопасности:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Свойства

Код статьи: 821277 - Последний отзыв: 27 января 2006 г. - Revision: 7.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Ключевые слова: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com