MS03-031: Sicherheitspatch für SQL Server 7.0 Service Pack 4

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 821279 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
821279 MS03-031: Security patch for SQL Server 7.0 Service Pack 4
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Microsoft Knowledge Base-Artikel enthält Informationen zum Sicherheitspatch für SQL Server 7.0 Service Pack 4 (SP4) und Microsoft Data Engine 1.0 SP4. Dieser Sicherheitspatch ersetzt alle bisherigen Sicherheitsupdates, die im nachstehenden Microsoft Knowledge Base-Artikel aufgelistet sind, darunter auch das Sicherheitsupdate MS02-061 für SQL Server 7.0:
327068 INF: Sicherheitsupdate für SQL Server 7.0 Service Pack 4

Wichtige Hinweise

Dieser Patch enthält nicht die Sicherheitsupdates, die in Microsoft Data Access Components (MDAC) und SQL Server Analysis Services enthalten sind.

Dieser Sicherheitspatch beseitigt die folgenden Sicherheitsanfälligkeiten:
  • Named Pipe-Besetzung
    Wenn SQL Server gestartet wird, erstellt das Programm eine spezifische Named Pipe und überwacht diese dann auf eingehende Verbindungen zu dem Server. Eine Named Pipe ist ein spezifisch benannter Einweg- oder Zweiwegkanal für die Kommunikation zwischen einem Named Pipe-Server und einem oder mehreren Named Pipe-Clients. SQL Server überprüft die Named Pipe, um festzustellen, welche Verbindungen sich bei dem System anmelden können, auf dem SQL Server ausgeführt wird, um dort Abfragen auf Daten auszuführen, die auf dem Server gespeichert sind.

    Die Methode zur Prüfung der Named Pipe weist einen Fehler auf, der es einem Angreifer, der ein lokaler Benutzer des Systems ist, auf dem SQL Server ausgeführt wird, ermöglichen könnte, die Kontrolle über die Named Pipe zu übernehmen, wenn sich ein anderer Client mit einem authentifizierten Anmeldekennwort anmeldet. Auf diesem Wege könnte der Angreifer die Kontrolle über die Named Pipe mit den Berechtigungen übernehmen, über die der Benutzer verfügt, der die Verbindung herzustellen versucht. Verfügt der Benutzer, der die Verbindung herzustellen versucht, über umfangreichere Berechtigungen als der potenzielle Angreifer, kann der Angreifer die Named Pipe mit diesen höheren Berechtigungen kontrollieren.
  • Denial of Service-Angriff auf die Named Pipe
    In dem gleichen Szenario, das im vorstehenden Abschnitt "Named Pipe-Besetzung" geschildert wird, könnte ein nicht authentifizierter Benutzer, bei dem es sich um einen lokalen Benutzer des betreffenden Intranets handelt, ein sehr umfangreiches Datenpaket an eine bestimmte Named Pipe senden, die durch das SQL Server-System abgehört wird, und diese dadurch so blockieren, dass sie nicht mehr reagiert.

    Bei dieser Anfälligkeit hat der Angreifer nicht die Möglichkeit, einen Code seiner Wahl ausführen zu lassen oder sich höhere Berechtigungen zu erschleichen; ein Dienstverweigerungsangriff (Denial of Service) wäre jedoch möglich, der es erforderlich machen würde, den Server neu zu starten, um dessen Funktionalität wiederherzustellen.
  • SQL Server-Pufferüberlauf
    In einer bestimmten Windows-Funktion gibt es einen Fehler, der einem authentifizierten Benutzer, der sich direkt an dem System anmelden kann, auf dem SQL Server ausgeführt wird, die Möglichkeit eröffnen könnte, ein in spezieller Weise gestaltetes Paket an den LPC-Port des Systems zu senden (LPC =Local Procedure Call, Lokaler Prozeduraufruf), das einen Pufferüberlauf verursachen kann. Durch eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit kann sich ein Benutzer mit eingeschränkten Berechtigungen die Berechtigungen erschleichen, die für das SQL Server-Dienstkonto gelten, oder er könnte einen in böswilliger Absicht verfassten Code seiner Wahl ausführen lassen.

Weitere Informationen

Wichtige Hinweise

Lesen Sie die folgenden wichtigen Hinweise zur Sicherheitspatch-Installation auf einem Computer, auf dem SQL Server 7.0 SP4 ausgeführt wird.

Eine Fehlermeldung wird angezeigt, wenn Sie unter Verwendung von Named Pipes eine Verbindung zu einem Microsoft Windows NT 4.0-Computer herstellen

Wenn Sie unter Verwendung von Named Pipes eine Verbindung zu einem Windows NT 4.0-Computer herstellen, auf dem SQL Server 7.0 ausgeführt wird, und diese Verbindung durch einen Benutzer aufgebaut wird, der kein Administrator ist, wird möglicherweise eine Fehlermeldung angezeigt, die einer der folgenden ähnelt:
Fehlermeldung 1
Die Verbindung konnte nicht hergestellt werden. SQL Server ist nicht vorhanden.
Fehlermeldung 2
Die Verbindung konnte nicht hergestellt werden. Zugriff wurde verweigert.
Informationen zu einem Hotfix zur Problembehandlung bei dieser Fehlermeldung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
823492 Fehlermeldung "Die Verbindung konnte nicht hergestellt werden" beim Aufbau einer Verbindung zu einem Windows NT 4.0-Computer, auf dem SQL Server 2000 oder SQL Server 7.0 ausgeführt wird

Voraussetzungen

Dieser Sicherheitspatch setzt SQL Server 7.0 SP4 voraus.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
301511 Bezugsquellen für das aktuelle SQL Server 7.0 Service Pack
In geclusterten SQL Server 7.0-Installationen müssen Sie zunächst die Clusterung von SQL Server aufheben, indem Sie den SQL Server Failover-Assistenten im primären Clusterknoten der einzelnen virtuellen SQL-Server ausführen.
Aktiv/Aktiv
Gehen Sie bei einer Aktiv/Aktiv-Installation wie folgt vor:
  1. Vergewissern Sie sich, dass der Computerknoten, auf dem SQL Server 7.0 ursprünglich installiert wurde, beide SQL Server-Ressourcengruppen steuert.
  2. Führen Sie den Failover Setup-Assistenten auf jedem Knoten des Clusters aus, um den virtuellen SQL Server zu entfernen.
  3. Nachdem Sie die Clusterung von SQL Server aufgehoben haben, müssen Sie die ausführbare Hotfix-Datei auf beiden Knoten ausführen. Die Hotfix-Installation muss erfolgreich abgeschlossen sein, bevor Sie den SQL Server erneut clustern.
Aktiv/Passiv
Gehen Sie bei einer Aktiv/Passiv-Installation wie folgt vor:
  1. Vergewissern Sie sich, dass der Computerknoten, auf dem SQL Server 7.0 ursprünglich installiert wurde, die SQL Server-Ressourcen steuert.
  2. Führen Sie den Failover Setup-Assistenten auf diesem Knoten aus, um den virtuellen SQL Server zu entfernen.
  3. Nachdem Sie die Clusterung von SQL Server aufgehoben haben, müssen Sie die ausführbare Hotfix-Datei auf dem primären Knoten ausführen. Die Hotfix-Installation muss erfolgreich abgeschlossen sein, bevor Sie den SQL Server erneut clustern.

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
SQL Server 7.0-Sicherheitspatch (Paket MS03-031) jetzt herunterladen.
Datum der Freigabe: 23.07.2003

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Informationen zur Installation

Dieser Sicherheitspatch unterstützt die folgenden Befehlszeilenoptionen:
Tabelle minimierenTabelle vergrößern
ParameterBeschreibung
/sDeaktiviert das Fortschrittsanzeige-Dialogfeld für die Selbstextrahierung. Muss vor der Befehlszeilenoption /a stehen.
/aDieser Parameter muss vor allen anderen Parametern (mit Ausnahme von /s) stehen, wenn Sie den Hotfix mithilfe der selbstextrahierenden EXE-Datei ausführen und Parameter für die unbeaufsichtigte Installation verwenden möchten. Dieser Parameter ist obligatorisch für die Ausführung des Installationsprogramms im unbeaufsichtigten Modus.
/qDieser Parameter veranlasst die Ausführung des Setupprogramms im unbeaufsichtigten Modus ohne Benutzeroberfläche.
BLANKSAPWD Dieser Parameter veranlasst, dass das sa-Kennwort für die SQL-Authentifizierung leer bleibt. Wenn Sie diesen Parameter auf Computern mit Windows NT oder Windows 2000 eingeben, wird die standardmäßige Windows-Anmeldeauthentifizierung übergangen und die Anmeldung wird mit einem leeren sa-Kennwort vorgenommen. Das korrekte Format für diesen Parameter ist BLANKSAPWD=1. Dieser Parameter wird nur bei unbeaufsichtigten Installationen erkannt.
SAPWDNicht leeres sa-Kennwort. Die Eingabe dieses Parameters muss im Format SAPWD=ihrsakennwort erfolgen. Dieser Parameter übergeht die standardmäßige Windows-Authentifizierung auf Computern mit Windows NT oder Windows 2000 bzw. BLANKSAPWD (sofern eingegeben).
Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
330391 INFO: SQL Server-Hotfixinstaller

Neustart

Sie müssen Ihren Computer nicht neu starten, nachdem Sie diesen Sicherheitspatch installiert haben, sofern Sie nicht vom Hotfix-Installationsprogramm hierzu aufgefordert werden.

Informationen zur Deinstallation

Die Deinstallation dieses Sicherheitspatches wird nur unterstützt, wenn Sie vor der Installation des Sicherheitspatches eine Sicherungskopie bestimmter Kataloge erstellt haben. Weitere Informationen finden Sie im Abschnitt "Update entfernen oder Rollback durchführen" des folgenden Artikels in der Microsoft Knowledge Base:
330391 INFO: SQL Server-Hotfixinstaller

Sicherheitspatch-Informationen

Dieser Sicherheitspatch ersetzt alle bisherigen Sicherheitsupdates, die im nachstehenden Microsoft Knowledge Base-Artikel aufgelistet sind, darunter auch das Sicherheitsupdate MS02-061 für SQL Server 7.0:
327068 INF: Sicherheitsupdate für SQL Server 7.0 Service Pack 4

Dateiinformationen

Die englische Version dieses Pakets weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.
   Datum        Zeit    Version           Größe         Dateiname
   -----------------------------------------------------------------------
   04-Oct-2002  23:59  2000.34.4.0        28,944 bytes  Dbmssocn.dll     
   06-Sep-2002  23:55  2000.33.6.0        53,520 bytes  Distrib.exe      
   06-Sep-2002  23:55  2000.33.6.0        98,576 bytes  Logread.exe      
   05-May-2003  18:34                     54,904 bytes  Opends60.dbg
   05-May-2003  18:34  2000.41.2.0       155,920 bytes  Opends60.dll     
   05-May-2003  18:34                    132,096 bytes  Opends60.pdb
   06-Sep-2002  23:56  2000.33.6.0       250,128 bytes  Rdistcom.dll     
   06-Sep-2002  23:55  2000.33.6.0        82,192 bytes  Replmerg.exe     
   06-Sep-2002  23:56  2000.33.6.0        78,096 bytes  Replres.dll      
   17-Sep-2002  22:52                      7,941 bytes  Securityhotfix.sql
   06-Sep-2002  23:56  2000.33.6.0       160,016 bytes  Snapshot.exe     
   30-May-2003  04:21                     59,214 bytes  Sp4_serv_uni.sql
   15-Jan-2003  01:33  2000.37.13.0      344,064 bytes  Sqlagent.exe     
   06-Sep-2002  23:55  2000.33.6.0        45,056 bytes  Sqlcmdss.dll     
   16-May-2003  00:18  2000.41.14.0    2,629,632 bytes  Sqldmo.dll       
   16-May-2003  13:29  2000.41.14.0       81,920 bytes  Sqlmap70.dll     
   29-May-2003  23:11                  4,370,404 bytes  Sqlservr.dbg
   30-May-2003  02:44  2000.41.28.0    5,062,928 bytes  Sqlservr.exe     
   29-May-2003  23:11                  3,589,120 bytes  Sqlservr.pdb
   04-Oct-2002  23:59  2000.34.4.0        45,328 bytes  Ssmsso70.dll     
   16-May-2003  00:18  2000.41.14.0       24,848 bytes  Ssnmpn70.dll     
   26-Sep-2002  20:30                     28,408 bytes  Ums.dbg
   26-Sep-2002  20:27  2000.33.25.0       57,616 bytes  Ums.dll          
   26-Sep-2002  20:29                     99,328 bytes  Ums.pdb
   16-May-2003  13:31  2000.41.14.0      151,552 bytes  Xpweb70.dll

Überprüfung

Mithilfe der Informationen im folgenden Artikel der Microsoft Knowledge Base können Sie ermitteln, mit welcher Version von SQL Server Sie arbeiten:
321185 SO WIRD'S GEMACHT: Ermitteln der SQL Server-Edition und Service Pack-Version
Nachdem Sie diesen Sicherheitspatch installiert haben, sollte "7.00.1094" zurückgegeben werden, wenn Sie eine der folgenden SELECT-Anweisungen ausführen:
SELECT serverproperty('productversion') 
SELECT @@Version

Informationsquellen

Weitere Informationen zu diesem Sicherheitspatch finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms03-031.mspx

Eigenschaften

Artikel-ID: 821279 - Geändert am: Donnerstag, 27. Februar 2014 - Version: 7.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Keywords: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com