MS03-031:SQL Server 2000 Service Pack 3 的安全修补程序

文章翻译 文章翻译
文章编号: 821277 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

Microsoft 将 SQL Server 2000 安全修复程序作为一个可下载的文件来分发。因为安全修复程序是累积性的,所以,每个新版本都包含了上一个 SQL Server 2000 安全修复程序版本包含的所有修复程序和所有安全修复程序。在安装最新的修补程序之前,不需要安装以前的修补程序。

有关 Microsoft SQL Server 2000 的最新 Service Pack 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
290211 如何获取最新的 SQL Server 2000 Service Pack

简介

此 Microsoft 知识库文章包含可用于 SQL Server 2000 Service Pack 3 (SP3)、SQL Server 2000 Service Pack 3a (SP3a)、SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) 及 SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a) 的所有安全修复程序的列表。

重要说明

  • 此累积程序包不包含 Microsoft 数据访问组件 (MDAC) 和 Analysis Services 中的安全修复程序。

下表列出了此安全修补程序所修补的漏洞:
  • 命名管道窃用
    当 SQL Server 启动时,它将创建并侦听特定的命名管道,以检查是否有到达服务器的传入连接。命名管道是一种经特殊命名的单向或双向通道,用于在管道服务器与一个或多个管道客户端之间进行通讯。SQL Server 对命名管道进行检查,以验证哪些连接可以登录正在运行 SQL Server 的系统以对该服务器上存储的数据执行查询。

    命名管道的检查方法中存在一个缺陷,在其他客户端使用经过验证的登录密码登录时,作为正在运行 SQL Server 的系统的本地用户的攻击者能够利用该缺陷窃用(控制)该命名管道。这将使攻击者能够使用正在尝试连接的用户的权限级别来控制命名管道。如果正在尝试远程连接的用户具有比该攻击者更高的权限级别,则在命名管道的安全受到破坏时,该攻击者将侵占这些权限。
  • 命名管道拒绝服务
    在本文“命名管道窃用”部分中提到的相同命名管道情形中,未经身份验证的 Intranet 本地用户或许能够向运行 SQL Server 的系统所侦听的特定命名管道发送一个特大型数据包,从而使该命名管道停止响应。

    此漏洞不会允许攻击者运行任意代码或提升他们的权限;但是,仍可能存在发生拒绝服务的情况,从而需要您重新启动服务器以恢复功能。
  • SQL Server 缓冲区溢出
    在特定的 Windows 函数中存在一个缺陷,该缺陷使可直接登录已运行 SQL Server 的系统的经身份验证用户能够创建特意制作的数据包,该数据包在发送到系统负责侦听的本地过程调用 (LPC) 端口时,可能导致缓冲区溢出。如果该漏洞被成功利用,则可能会使一个在系统中具有有限权限的用户能够将其权限提升至 SQL Server 服务帐户的级别,或能够使任意代码得以执行。

安装 MS03-031 后 SQL Server 提示您输入密码:SQL Server 累积安全修补程序

在安装了“MS03-031:SQL Server 累积安全修补程序”后,当您使用企业管理器更改标准 SQL Server 登录信息时,系统会提示您输入密码,即使没有更改密码也是如此。如果您没有更改密码,即使您输入所使用的密码,也无法成功关闭该对话框。要解决或避免此问题,请下载并使用下面的 Microsoft 知识库文章中的修复程序:
826161 FIX:在更改了标准 SQL Server 登录信息后收到进行密码确认的提示

更多信息

重要说明

请阅读以下有关在运行 SQL Server 2000 SP3 的计算机上安装此修补程序的重要说明:

通用说明、发现和集成 (UDDI) 服务

如果您在运行 Microsoft Windows Server 2003 的计算机上安装此安全修补程序,并且该计算机上已安装了 UDDI 服务,则必须根据您的具体情况,采取下面的两种方法之一重新启动 UDDI 服务。否则,UDDI 服务将不会恢复正常工作。
  • 如果在运行 Windows Server 2003 的计算机上没有使用其他 Web 服务,则可以通过重新启动 Microsoft Internet 信息服务 (IIS) 来重新启动 UDDI 服务。重新启动 IIS 与首先停止 IIS 然后将其再次启动的效果相同,不同之处在于它是使用单个命令完成的。重新启动 IIS 的方式有两种:
    • 使用 IIS 管理器图形用户界面。
    • 使用 IISReset 命令行实用工具。
  • 如果在运行 Windows Server 2003 的计算机上还使用了其他 Web 服务,您可能不希望影响其操作。要重新启动 UDDI 服务,请按照下列步骤操作:
    1. 启动 IIS 管理器实用工具。
    2. 找到 Application Pools 文件夹,然后右键单击 MSUDDIAppPool 图标。
    3. 单击以选中“回收”菜单选项。这样做将使 UDDI 服务恢复操作,而不会影响计算机上的任何其他 Web 服务。

使用命名管道连接到基于 Microsoft Windows NT 4.0 的计算机时出现错误消息

当您使用命名管道连接到基于 Windows NT 4.0 且正在运行 Microsoft SQL Server 2000 的计算机时,如果该连接是由非管理员用户建立的,则您可能收到与下列某条消息类似的错误消息:

消息 1
Connection could not be established.SQL Server does not exist
消息 2
Connection could not be established.Access is denied.
要获取能够解决此错误消息的修复程序,请参见下面的 Microsoft 知识库文章:
823492 当连接到正在运行 SQL Server 2000 或 SQL Server 7.0 的基于 Windows NT 4.0 的计算机时出现“Connection could not be established”(无法建立连接)错误消息

下载信息

可以在 Microsoft 下载中心下载以下文件:

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

发布日期:2003 年 7 月 23 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

先决条件

此安全修补程序需要 SQL Server 2000 Service Pack 3 (SP3) 或 Service Pack 3a (SP3a)。Microsoft 建议使用 SQL Server 2000 Service Pack 3a。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
290211 如何获取最新的 SQL Server 2000 Service Pack
注意:如果您尚未安装 Microsoft 安全公告 MS03-031 的安全修补程序,请下载并使用下面的 Microsoft 知识库文章中提供的文件:
826161 FIX:在更改了标准 SQL Server 登录信息后收到进行密码确认的提示

安装信息

此安全修补程序支持以下安装开关:
收起该表格展开该表格
开关说明
s禁用自解压缩进度对话框。必须用在 /a 开关的前面。
/a如果正在通过自解压缩 EXE 运行修复程序,并且想包括用于执行无人参与式安装的参数,则必须将此参数置于 /s 以外的所有参数的前面。如想让安装程序在无人参与模式下运行,必须选择此参数。
/q此开关将使安装程序在安静模式下运行,不出现用户界面。
INSTANCENAMESQL Server 实例的名称。必须以下面的形式输入它:

INSTANCENAME=yourinstancename
BLANKSAPWD表示用于 SQL 身份验证的空 sa 密码。如果在运行 Microsoft Windows NT 或 Microsoft Windows 2000 的计算机上输入此参数,则会绕过默认的 Windows 身份验证登录而尝试用空 sa 密码登录。此参数的正确格式是 BLANKSAPWD=1。只有无人参与安装模式识别此参数。
SAPWD非空 sa 密码。如果您输入此参数,它的格式必须是 SAPWD=yoursapassword。如果输入此参数,它将覆盖运行 Windows NT 或 Windows 2000 的计算机上的默认 Windows 身份验证,或者覆盖 BLANKSAPWD(如果已输入)。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
330391 SQL Server 修复程序安装程序

重新启动要求

应用此安全修补程序后,除非安装程序提示您重新启动,否则无需重新启动计算机。

删除信息

除非在安装此安全修补程序之前备份了某些目录,否则不支持删除此安全修补程序。有关更多信息,请参见以下 Microsoft 知识库文章中的“How to Remove or Rollback the Hotfix”(如何删除或回滚修复程序)部分:
330391 SQL Server 修复程序安装程序

安全修补程序代替信息

此安全修补程序不代替任何其他 SQL Server 2000 Service Pack 3 (SP3) 安全修补程序。

文件信息

此安全修补程序的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为当地时间。要了解 UTC 与当地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。
日期           时间    版本                  大小            文件名
----------------------------------------------------------------------------
31-May-2003  18:45  2000.80.818.0      78,400 bytes  Console.exe
25-Jun-2003  01:01  2000.80.818.0      33,340 bytes  Dbmslpcn.dll
25-Apr-2003  02:12                    786,432 bytes  Distmdl.ldf
25-Apr-2003  02:12                  2,359,296 bytes  Distmdl.mdf
30-Jan-2003  01:55                        180 bytes  Drop_repl_hotfix.sql
07-Apr-2003  19:15  2000.80.801.0   1,557,052 bytes  Dtsui.dll        
24-Apr-2003  02:51                    747,927 bytes  Instdist.sql
03-May-2003  01:56                      1,581 bytes  Inst_repl_hotfix.sql
08-Feb-2003  06:40  2000.80.765.0      90,692 bytes  Msgprox.dll
01-Apr-2003  02:07                      1,873 bytes  Odsole.sql
07-May-2000  07:04                      1,873 bytes  Odsole.sql     
02-Apr-2003  21:48  2000.80.796.0      57,904 bytes  Osql.exe
02-Apr-2003  23:15  2000.80.797.0     279,104 bytes  Pfutil80.dll
04-Apr-2003  21:27                  1,083,467 bytes  Replmerg.sql
04-Apr-2003  21:53  2000.80.798.0     221,768 bytes  Replprov.dll
08-Feb-2003  06:40  2000.80.765.0     307,784 bytes  Replrec.dll
05-May-2003  00:05                  1,085,874 bytes  Replsys.sql
31-May-2003  01:01  2000.80.818.0     492,096 bytes  Semobj.dll       
31-May-2003  18:27  2000.80.818.0     172,032 bytes  Semobj.rll
29-May-2003  00:29                    115,944 bytes  Sp3_serv_uni.sql
01-Jun-2003  01:01  2000.80.818.0   4,215,360 bytes  Sqldmo.dll
07-Apr-2003  17:44                     25,172 bytes  Sqldumper.exe
19-Mar-2003  18:20  2000.80.789.0      28,672 bytes  Sqlevn70.rll
24-Apr-2003  05:39  2000.80.811.0     176,696 bytes  Sqlmap70.dll     
08-Feb-2003  06:40  2000.80.765.0      57,920 bytes  Sqlrepss.dll
01-Jun-2003  01:02  2000.80.818.0   7,544,916 bytes  Sqlservr.exe     
01-Jun-2003  01:02                 12,739,584 bytes  Sqlservr.pdb
08-Feb-2003  06:40  2000.80.765.0      45,644 bytes  Sqlvdi.dll
25-Jun-2003  01:01  2000.80.818.0      33,340 bytes  Ssmslpcn.dll
01-Jun-2003  01:01  2000.80.818.0      82,492 bytes  Ssnetlib.dll
01-Jun-2003  01:01  2000.80.818.0      25,148 bytes  Ssnmpn70.dll
01-Jun-2003  01:01  2000.80.818.0     158,240 bytes  Svrnetcn.dll
31-May-2003  18:59  2000.80.818.0      76,416 bytes  Svrnetcn.exe
30-Apr-2003  23:52  2000.80.816.0      45,132 bytes  Ums.dll
30-Apr-2003  23:52                    132,096 bytes  Ums.pdb
28-Feb-2003  01:34  2000.80.778.0      98,872 bytes  Xpweb70.dll      

验证

要确定您正在运行的 SQL Server 版本,请参照以下 Microsoft 知识库文章中的信息:
321185 如何识别 SQL Server Service Pack 的版本
应用此安全修补程序后,请运行以下内容之一:
SELECT serverproperty('productversion') 

SELECT @@Version
应该返回以下信息:
8.00.818

参考

有关此安全修补程序的其他信息,请参见以下 Microsoft 安全公告:
http://www.microsoft.com/china/security/Bulletins/MS03-031.asp
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 有关用于描述 Microsoft 软件更新标准术语的介绍

属性

文章编号: 821277 - 最后修改: 2006年1月23日 - 修订: 7.2
这篇文章中的信息适用于:
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
关键字:?
atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com