MS03-031: Säkerhetskorrigering för SQL Server 2000 Service Pack 3

Artikelöversättning Artikelöversättning
Artikel-id: 821277 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Microsoft distribuerar säkerhetskorrigeringar för SQL Server 2000 som en nedladdningsbar fil. Eftersom säkerhetskorrigeringarna är kumulativa innehåller varje ny utgåva samtliga snabbkorrigeringar och säkerhetskorrigeringar som ingår i föregående säkerhetskorrigering för SQL Server 2000. Du behöver inte installera en tidigare säkerhetskorrigering innan du installerar den senaste.

Om du vill veta mer om Service Pack-uppdateringar för Microsoft SQL Server 2000 klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
290211 Hur du hämtar senaste Service Pack för SQL Server 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

INLEDNING

Den här artikeln innehåller en lista över alla säkerhetskorrigeringar för SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) och SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Viktigt!

  • Det här kumulativa paketet innehåller inte säkerhetskorrigeringarna i Microsoft Data Access Components (MDAC) och Analysis Services.

Följande säkerhetsproblem åtgärdas genom den här säkerhetskorrigeringen:
  • Kapning av en namngiven pipe
    När SQL Server startas skapar och lyssnar det på en viss namngiven pipe efter inkommande anslutningar till servern. En namngiven pipe är en särskilt namngiven en- eller tvåvägskanal för kommunikation mellan en pipe-server och en eller flera pipe-klienter. SQL Server kontrollerar denna namngivna pipe för att undersöka vilka anslutningar som kan logga in på datorn där SQL Server körs för att köra frågor mot data som är lagrade på servern.

    Det finns ett fel i kontrollmetoden för den namngiven pipen som gör att en lokal angripare på datorn där SQL Server körs kan få kontroll över den namngivna pipen när ett autentiserat inloggningslösenord används för inloggning från en annan klient. Detta kan medföra att angriparen tar kontroll över den namngivna pipen på samma behörighetsnivå som användaren som försöker ansluta. Om användaren som försöker ansluta från en annan dator har en högre behörighetsnivå än angriparen får angriparen den behörigheten när den namngivna pipen angrips.
  • DoS (Denial of Service) i en namngiven pipe
    I samma scenario som beskrivs i "Kapning av en namngiven pipe" ovan kan en oautentiserad användare inom intranätet skicka ett mycket stort paket till en viss namngiven pipe där datorn med SQL Server lyssnar, vilket medför att denna dator slutar svara.

    Detta säkerhetsproblem ger inte en angripare möjlighet att köra skadlig kod eller höja sin behörighet, men det kan medföra ett DoS-tillstånd (Denial of Service) som gör att servern måste startas om.
  • Buffertöverskridning i SQL Server
    Det finns ett fel i en viss Windows-funktion som kan ge en autentiserad användare med direkt inloggningsåtkomst på datorn med SQL Server möjlighet att skapa ett särskilt utformat paket, som när det skickas till datorns LPC-port (Local Procedure Call) kan medföra en buffertöverskridning. Felet kan göra att en användare med begränsad behörighet på datorn kan höja sin behörighet till SQL Server-tjänstkontots nivå eller köra skadlig kod.

Ett lösenord efterfrågas efter installation av MS03-031: Kumulativ säkerhetskorrigering för SQL Server

När du har installerat "MS03-031: Kumulativ säkerhetskorrigering för SQL Server", och gör ändringar av en standardinloggning på SQL Server med hjälp av Enterprise Manager, efterfrågas ett lösenord trots att du inte har ändrat lösenordet. Om du inte har ändrat lösenordet kan du inte stänga dialogrutan, oavsett vilken inmatning du använder. Lös eller undvik problemet genom att hämta och använda korrigeringsfilen som beskrivs i följande artikel i Microsoft Knowledge Base:
826161 KORRIGERING: Lösenordsbekräftelse efterfrågas efter ändring av standardinloggning för SQL Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Mer Information

Viktigt!

Läs följande information om installation av den här korrigeringen på en dator med SQL Server 2000 SP3.

UDDI-tjänster (Universal Description, Discovery, and Integration)

Om du installerar den här säkerhetskorrigeringen på en dator med Microsoft Windows Server 2003 och UDDI Services måste du göra något av följande för att starta om UDDI-tjänster. UDDI-tjänster fungerar inte normalt igen förrän du gör detta.
  • Om ingen annan webbtjänst används på datorn med Windows Server 2003 kan du starta om UDDI-tjänsterna genom att starta om Microsoft Internet Information Services (IIS). Att starta om IIS är detsamma som att först stoppa IIS och sedan starta det igen, utom att det görs med ett enda kommando. Det finns två sätt att starta om IIS:
    • Med det grafiska användargränssnittet IIS Manager.
    • Med kommandoradsverktyget IISReset.
  • Om andra webbtjänster används på datorn med Windows Server 2003 vill du kanske inte störa dem. Så här startar du om UDDI-tjänsten:
    1. Starta IIS Manager.
    2. Leta upp mappen Tillämpningspooler och högerklicka på ikonen MSUDDIAppPool.
    3. Markera menyalternativet Återvinn. På så vis kan UDDI-tjänster börja fungera igen utan att det påverkar andra webbtjänster på datorn.

Ett felmeddelande visas vid anslutning till en dator med Microsoft Windows NT 4.0 med hjälp av namngivna pipes

När en användare som inte är administratör ansluter till en dator med Windows NT 4.0 och Microsoft SQL Server 2000 med hjälp av namngivna pipes kan ett felmeddelande av följande slag visas:

Meddelande 1
Det gick inte att upprätta en anslutning. SQL Server finns inte.
Meddelande 2
Det gick inte att upprätta en anslutning. Åtkomst nekad.
Information om hur du skaffar en snabbkorrigering för det här felmeddelandet finns i följande artikel i Microsoft Knowledge Base:
823492 Felmeddelandet "Det gick inte att upprätta en anslutning" visas vid anslutning till en dator med Windows NT 4.0 och SQL Server 2000 eller SQL Server 7.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Information om hämtning

Följande fil kan hämtas från Microsoft Download Center:

http://www.microsoft.com/downloads/details.aspx?displaylang=sv&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Utgivningsdatum: 23 juli 2003

Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Förutsättningar

Denna säkerhetskorrigering kräver SQL Server 2000 Service Pack 3 (SP3) eller Service Pack 3a (SP3a). Microsoft rekommenderar SQL Server 2000 Service Pack 3a.

Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
290211 Hur du hämtar senaste Service Pack för SQL Server 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Obs! Om du inte har installerat säkerhetskorrigeringen för Microsoft-säkerhetsbulletinen MS03-031 hämtar och använder du filen som är tillgänglig i följande artikel i Microsoft Knowledge Base:
826161 KORRIGERING: Lösenordsbekräftelse efterfrågas efter ändring av standardinloggning för SQL Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
Dölj tabellenVisa tabellen
VäxelBeskrivning
sInaktiverar förloppsdialogrutan Self Extraction. Måste komma före växeln /a.
/aDenna parameter måste komma före alla parametrar utom /s om du kör snabbkorrigeringen med hjälp av den självextraherande EXE-filen och du vill inkludera parametrar för obevakade installationer. Detta är en obligatorisk parameter om installationsprogrammet ska köras i obevakat läge.
/qDenna växel medför att installationsprogrammet körs utan meddelanden och utan användargränssnitt.
INSTANCENAMENamnet på SQL Server-instansen. Det måste anges på följande vis:

INSTANCENAME=dittinstansnamn
BLANKSAPWDInnebär ett tomt sa-lösenord för SQL-autentisering. Om du anger den här parametern på datorer med Microsoft Windows NT eller Microsoft Windows 2000, åsidosätts standardinloggningen för Windows-autentisering och ett försök görs till inloggning med ett tomt sa-lösenord. Det korrekta formatet för parametern är BLANKSAPWD=1. Parametern är endast godkänd för obevakade installationer.
SAPWDIcke-tomt sa-lösenord. Om du anger denna parameter måste det vara i form av SAPWD=dittsalösenord. Den här parametern har företräde framför standard-Windows-inloggning på datorer med Windows NT eller Windows 2000, eller BLANKSAPWD, om det har angetts.
Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
330391 Installationsprogram för SQL Server-snabbkorrigering (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Krav på omstart

Du behöver inte starta om datorn när du har installerat den här säkerhetskorrigeringen om du inte uppmanas till det av installationsprogrammet för snabbkorrigeringen.

Information om borttagning

Korrigeringen kan bara tas bort om vissa kataloger har säkerhetskopierats före installationen. Mer information finns i "How to Remove or Rollback the Hotfix" i följande artikel i Microsoft Knowledge Base:
330391 Installationsprogram för SQL Server-snabbkorrigering (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Ersättningsinformation

Den här säkerhetskorrigeringen ersätter inte några andra säkerhetskorrigeringar för SQL Server 2000 Service Pack 3 (SP3)

Filinformation

Den engelska versionen av den här säkerhetskorrigeringen har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid på fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.
   Datum         Tid   Version             Storlek         Filnamn ---------------------------------------------------------------------------- 31-maj-2003  18:45  2000.80.818.0      78 400 byte  Console.exe 25-jun-2003  01:01  2000.80.818.0      33 340 byte  Dbmslpcn.dll 25-apr-2003  02:12                    786 432 byte  Distmdl.ldf 25-apr-2003  02:12                  2 359 296 byte  Distmdl.mdf 30-jan-2003  01:55                        180 byte  Drop_repl_hotfix.sql 07-apr-2003  19:15  2000.80.801.0   1 557 052 byte  Dtsui.dll 24-apr-2003  02:51                    747 927 byte  Instdist.sql 03-maj-2003  01:56                      1 581 byte  Inst_repl_hotfix.sql 08-feb-2003  06:40  2000.80.765.0      90 692 byte  Msgprox.dll 01-apr-2003  02:07                      1 873 byte  Odsole.sql 07-maj-2000  07:04                      1 873 byte  Odsole.sql 02-apr-2003  21:48  2000.80.796.0      57 904 byte  Osql.exe 02-apr-2003  23:15  2000.80.797.0     279 104 byte  Pfutil80.dll 04-apr-2003  21:27                  1 083 467 byte  Replmerg.sql 04-apr-2003  21:53  2000.80.798.0     221 768 byte  Replprov.dll 08-feb-2003  06:40  2000.80.765.0     307 784 byte  Replrec.dll 05-maj-2003  00:05                  1 085 874 byte  Replsys.sql 31-maj-2003  01:01  2000.80.818.0     492 096 byte  Semobj.dll 31-maj-2003  18:27  2000.80.818.0     172 032 byte  Semobj.rll 29-maj-2003  00:29                    115 944 byte  Sp3_serv_uni.sql 01-jun-2003  01:01  2000.80.818.0   4 215 360 byte  Sqldmo.dll 07-apr-2003  17:44                     25 172 byte  Sqldumper.exe 19-mar-2003  18:20  2000.80.789.0      28 672 byte  Sqlevn70.rll 24-apr-2003  05:39  2000.80.811.0     176 696 byte  Sqlmap70.dll 08-feb-2003  06:40  2000.80.765.0      57 920 byte  Sqlrepss.dll 01-jun-2003  01:02  2000.80.818.0   7 544 916 byte  Sqlservr.exe 01-jun-2003  01:02                 12 739 584 byte  Sqlservr.pdb 08-feb-2003  06:40  2000.80.765.0      45 644 byte  Sqlvdi.dll 25-jun-2003  01:01  2000.80.818.0      33 340 byte  Ssmslpcn.dll 01-jun-2003  01:01  2000.80.818.0      82 492 byte  Ssnetlib.dll 01-jun-2003  01:01  2000.80.818.0      25 148 byte  Ssnmpn70.dll 01-jun-2003  01:01  2000.80.818.0     158 240 byte  Svrnetcn.dll 31-maj-2003  18:59  2000.80.818.0      76 416 byte  Svrnetcn.exe 30-apr-2003  23:52  2000.80.816.0      45 132 byte  Ums.dll 30-apr-2003  23:52                    132 096 byte  Ums.pdb 28-feb-2003  01:34  2000.80.778.0      98 872 byte  Xpweb70.dll

Verifiering

Du kan ta reda på vilken version av SQL Server som används med hjälp av följande artikel i Microsoft Knowledge Base:
321185 Identifiera Service Pack-version och utgåva för SQL Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Kör något av följande efter installation av den här säkerhetskorrigeringen:
SELECT serverproperty('productversion') 

SELECT @@Version
Resultatet bör bli:
8.00.818

Referenser

Mer information om den här säkerhetskorrigeringen finns i följande Microsoft-säkerhetsbulletin:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx
Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
824684 Standardterminologi för beskrivning av Microsoft-programuppdateringar

Egenskaper

Artikel-id: 821277 - Senaste granskning: den 27 januari 2006 - Revision: 7.2
Informationen i denna artikel gäller:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
Nyckelord: 
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com