MS03-031: Eνημερωμένη έκδοση κώδικα ασφαλείας για το SQL Server 7.0 Service Pack 4

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 821279 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Αυτό το αρχείο έχει αρχειοθετηθεί. Προσφέρεται “ως έχει” και δεν θα ενημερώνεται πια.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base) περιλαμβάνει πληροφορίες σχετικά με την έκδοση μιας ενημερωμένης έκδοσης κώδικα ασφαλείας για το SQL Server 7.0 Service Pack 4 (SP4) και το Microsoft Data Engine 1.0 SP4. Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας αντικαθιστά όλες τις παλαιότερες ενημερωμένες εκδόσεις κώδικα ασφαλείας, οι οποίες τεκμηριώνονται στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base), συμπεριλαμβανομένης της ενημερωμένης έκδοσης κώδικα ασφαλείας στο Ενημερωτικό δελτίο ασφαλείας της Microsoft MS02-061 για τον SQL Server 7.0:
327068 Ενημερωμένη έκδοση ασφαλείας του SQL Server 7.0 για το Service Pack 4

Σημαντικές παρατηρήσεις

Αυτό το πακέτο δεν περιέχει τις ενημερώσεις κώδικα ασφαλείας που περιέχονται στα Microsoft Data Access Components (MDAC) και στις Υπηρεσίες ανάλυσης SQL Server (Analysis Services) .

Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας επιλύει τα ακόλουθα θέματα ευπάθειας:
  • Εισβολή σε επώνυμη διοχέτευση
    Κατά την εκκίνησή του, ο SQL Server δημιουργεί και κατόπιν εκτελεί ακρόαση σε μια συγκεκριμένη επώνυμη διοχέτευση για εισερχόμενες συνδέσεις στο διακομιστή. Μια επώνυμη διοχέτευση είναι ένα κανάλι μονόδρομης ή αμφίδρομης επικοινωνίας, που έχει ονομαστεί με συγκεκριμένο τρόπο για την επικοινωνία μεταξύ ενός διακομιστή διοχέτευσης και ενός ή περισσότερων υπολογιστών-πελατών διοχέτευσης. Ο SQL Server ελέγχει την επώνυμη διοχέτευση, για να επαληθεύσει από ποιες συνδέσεις μπορεί να γίνει σύνδεση στο σύστημα που εκτελεί τον SQL Server, για να υποβληθούν ερωτήματα με βάση δεδομένα που έχουν αποθηκευτεί στο διακομιστή.

    Υπάρχει ένα ελάττωμα στη μέθοδο ελέγχου της επώνυμης διοχέτευσης, το οποίο θα μπορούσε να επιτρέψει σε έναν τοπικό εισβολέα του συστήματος που εκτελεί τον SQL Server να εισβάλει (να αποκτήσει τον έλεγχο) στην επώνυμη διοχέτευση, όταν ένας άλλος υπολογιστής-πελάτης χρησιμοποιήσει έναν κωδικό πρόσβασης για σύνδεση με έλεγχο ταυτότητας, για να συνδεθεί. Αυτό το ελάττωμα θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει τον έλεγχο της επώνυμης διοχέτευσης, με το ίδιο επίπεδο δικαιωμάτων με το χρήστη που προσπαθεί να συνδεθεί. Εάν ο χρήστης που προσπαθεί να συνδεθεί με απομακρυσμένο τρόπο διαθέτει υψηλότερο επίπεδο δικαιωμάτων σε σχέση με το επίπεδο δικαιωμάτων του εισβολέα, ο εισβολέας θα αποκτήσει αυτά τα δικαιώματα, όταν παραβιαστεί η ασφάλεια της επώνυμης διοχέτευσης.
  • Άρνηση εξυπηρέτησης στην επώνυμη διοχέτευση
    Στο ίδιο σενάριο επώνυμων διοχετεύσεων, το οποίο αναφέρεται στην ενότητα "Εισβολή σε επώνυμη διοχέτευση" αυτού του ενημερωτικού δελτίου, ένας χρήστης που δεν έχει υποβληθεί σε έλεγχο ταυτότητας, ο οποίος βρίσκεται τοπικά στο intranet, είναι δυνατό να αποστείλει ένα πολύ μεγάλο πακέτο σε μια συγκεκριμένη επώνυμη διοχέτευση, στην οποία εκτελεί ακρόαση ο υπολογιστής που εκτελεί SQL Server, και να προκαλέσει διακοπή της ανταπόκρισής της.

    Αυτό το θέμα ευπάθειας δεν θα επέτρεπε σε κάποιον εισβολέα να εκτελέσει αυθαίρετο κώδικα ή να αυξήσει τα δικαιώματά του, αλλά είναι δυνατό να υπάρξει μια συνθήκη άρνησης εξυπηρέτησης, η οποία θα απαιτούσε την επανεκκίνηση του διακομιστή για την αποκατάσταση της λειτουργίας του.
  • Υπέρβαση buffer στον SQL Server
    Υπάρχει ένα ελάττωμα σε μια συγκεκριμένη λειτουργία των Windows, η οποία μπορεί να επιτρέψει σε ένα χρήστη που έχει υποβληθεί σε έλεγχο ταυτότητας, ο οποίος έχει άμεση πρόσβαση για σύνδεση στο σύστημα στο οποίο εκτελείται ο SQL Server, τη δυνατότητα δημιουργίας ενός ειδικά κατασκευασμένου πακέτου, το οποίο, όταν σταλεί στη θύρα ακρόασης κλήσης τοπικής διαδικασίας (LPC) του συστήματος, μπορεί να προκαλέσει υπέρβαση του buffer. Εάν αξιοποιηθεί με επιτυχία, αυτή η ευπάθεια θα μπορούσε να επιτρέψει σε ένα χρήστη, ο οποίος διαθέτει περιορισμένα δικαιώματα στο σύστημα, να αυξήσει τα δικαιώματά του στο επίπεδο του λογαριασμού της υπηρεσίας του SQL Server ή να προκαλέσει εκτέλεση αυθαίρετου κώδικα.

Περισσότερες πληροφορίες

Σημαντικές παρατηρήσεις

Διαβάστε τις ακόλουθες σημαντικές παρατηρήσεις σχετικά με την εγκατάσταση αυτής της ενημερωμένης έκδοσης κώδικα ασφαλείας σε υπολογιστή στον οποίο εκτελείται το SQL Server 7.0 SP4.

Παρουσιάζεται ένα μήνυμα λάθους, όταν συνδέεστε σε έναν υπολογιστή που βασίζεται σε Microsoft Windows NT 4.0 χρησιμοποιώντας επώνυμες διοχετεύσεις

Όταν συνδέεστε σε έναν υπολογιστή που βασίζεται σε Windows NT 4.0 και ο οποίος εκτελεί τον SQL Server 7.0 χρησιμοποιώντας επώνυμες διοχετεύσεις και η συγκεκριμένη σύνδεση γίνεται από χρήστη που δεν είναι διαχειριστής, μπορεί να λάβετε ένα μήνυμα λάθους παρόμοιο με ένα από τα εξής:
Μήνυμα 1
Connection could not be established. SQL Server does not exist.
Μήνυμα 2
Connection could not be established. Access is denied.
Για να αποκτήσετε μια επείγουσα επιδιόρθωση για την επίλυση αυτού του μηνύματος λάθους, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
823492 Κατά τη σύνδεση σε έναν υπολογιστή που βασίζεται στα Windows NT 4.0 και εκτελεί τον SQL Server 2000 ή τον SQL Server 7.0, εμφανίζεται το μήνυμα λάθους "Connection Could Not Be Established"

Προϋποθέσεις

Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας απαιτεί το SQL Server 7.0 SP4.

Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
301511 Τρόπος απόκτησης του τελευταίου Service Pack του SQL Server 7.0
Στις εγκαταστάσεις με συμπλέγματα του SQL Server 7.0, θα πρέπει πρώτα να απομακρύνετε τον SQL Server από το σύμπλεγμα, εκτελώντας τον οδηγό ανακατεύθυνσης (Failover Wizard) του SQL Server από τον κύριο κόμβο συμπλέγματος για κάθε εικονικό SQL Server.
Ενεργή/Ενεργή
Ακολουθήστε αυτά τα βήματα για μια εγκατάσταση τύπου "ενεργή/ενεργή":
  1. Βεβαιωθείτε ότι ο κόμβος υπολογιστή, όπου είχε αρχικά εγκατασταθεί ο SQL Server 7.0, ελέγχει και τις δύο ομάδες πόρων του SQL Server.
  2. Σε κάθε κόμβο του συμπλέγματος, εκτελέστε το βοηθητικό πρόγραμμα του οδηγού εγκατάστασης ανακατεύθυνσης Failover Setup Wizard, για να καταργήσετε τον εικονικό SQL Server.
  3. Αφού αφαιρέσετε τον SQL Server από το σύμπλεγμα, θα πρέπει να εκτελέσετε το εκτελέσιμο αρχείο της επείγουσας επιδιόρθωσης και στους δύο κόμβους και να ολοκληρώσετε την εγκατάσταση της επείγουσας επιδιόρθωσης με επιτυχία, πριν να τοποθετήσετε ξανά τον SQL Server στο σύμπλεγμα.
Ενεργή/Παθητική
Ακολουθήστε αυτά τα βήματα για μια εγκατάσταση τύπου "ενεργή/παθητική":
  1. Βεβαιωθείτε ότι ο κόμβος υπολογιστή, όπου είχε αρχικά εγκατασταθεί ο SQL Server 7.0, ελέγχει τους πόρους του SQL Server.
  2. Στον ίδιο κόμβο υπολογιστή, εκτελέστε το βοηθητικό πρόγραμμα του οδηγού εγκατάστασης ανακατεύθυνσης Failover Setup Wizard, για να καταργήσετε τον εικονικό SQL Server.
  3. Αφού αφαιρέσετε τον SQL Server από το σύμπλεγμα, θα πρέπει να εκτελέσετε το εκτελέσιμο αρχείο της επείγουσας επιδιόρθωσης μόνο στον κύριο κόμβο και να ολοκληρώσετε την εγκατάσταση της επείγουσας επιδιόρθωσης με επιτυχία, πριν να τοποθετήσετε ξανά τον SQL Server στο σύμπλεγμα.

Πληροφορίες λήψης

Το ακόλουθο αρχείο είναι διαθέσιμο για λήψη από το Κέντρο λήψης της Microsoft (Microsoft Download Center):
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Στοιχείο λήψης
Άμεση λήψη του πακέτου ενημερωμένης έκδοσης κώδικα ασφαλείας MS03-031 του SQL Server 7.0 (Αγγλική έκδοση).
Ημερομηνία κυκλοφορίας: 23.07.03

Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft έχει ελέγξει αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι συμβάλλουν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.

Πληροφορίες εγκατάστασης

Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας υποστηρίζει τους εξής διακόπτες του προγράμματος Εγκατάστασης (Setup).
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΔιακόπτηςΠεριγραφή
/s:Απενεργοποιεί το παράθυρο διαλόγου προόδου της αυτόματης αποσυμπίεσης Self Extraction. Πρέπει να προηγείται του διακόπτη /a.
/aΑυτή η παράμετρος πρέπει να προηγείται όλων των παραμέτρων εκτός της παραμέτρου /s , εάν εκτελείτε την επείγουσα επιδιόρθωση χρησιμοποιώντας το αυτοαποσυμπιεζόμενο αρχείο EXE και θέλετε να συμπεριλάβετε παραμέτρους για εγκαταστάσεις χωρίς παρακολούθηση. Αυτή είναι μια υποχρεωτική παράμετρος για την εκτέλεση του προγράμματος εγκατάστασης σε λειτουργία χωρίς παρακολούθηση.
/qΑυτός ο διακόπτης προκαλεί την εκτέλεση του προγράμματος Εγκατάστασης (Setup) σε λειτουργία χωρίς μηνύματα και χωρίς περιβάλλον εργασίας.
BLANKSAPWDΑυτή η παράμετρος σημαίνει ότι ο κωδικός πρόσβασης sa για τον έλεγχο ταυτότητας SQL είναι κενός. Εάν εισαγάγετε αυτήν την παράμετρο σε υπολογιστές με Windows NT ή Windows 2000, αντικαθίσταται η προεπιλεγμένη διαδικασία σύνδεσης με έλεγχο ταυτότητας των Windows και επιχειρείται σύνδεση με κενό κωδικό πρόσβασης sa. Η σωστή μορφή για αυτήν την παράμετρο είναι BLANKSAPWD=1. Αυτή η παράμετρος αναγνωρίζεται μόνο σε εγκαταστάσεις χωρίς παρακολούθηση.
SAPWDΜη κενός κωδικός πρόσβασης sa. Εάν εισαγάγετε αυτήν την παράμετρο, πρέπει να έχει τη μορφή SAPWD=κωδικός_πρόσβασης_sa. Αυτή η παράμετρος αντικαθιστά την προεπιλεγμένη διαδικασία ελέγχου ταυτότητας των Windows σε υπολογιστές με Windows NT ή Windows 2000, ή την παράμετρο BLANKSAPWD, σε περίπτωση που έχει εισαχθεί.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
330391 Πρόγραμμα εγκατάστασης επείγουσας επιδιόρθωσης για τον SQL Server

Απαιτήσεις επανεκκίνησης

Δεν είναι απαραίτητη η επανεκκίνηση του υπολογιστή σας μετά την εφαρμογή αυτής της επείγουσας επιδιόρθωσης, εκτός αν σας ζητηθεί από το πρόγραμμα εγκατάστασης της επείγουσας επιδιόρθωσης.

Πληροφορίες κατάργησης

Η κατάργηση αυτής της ενημερωμένης έκδοσης κώδικα ασφαλείας δεν υποστηρίζεται, εκτός αν είχαν δημιουργηθεί αντίγραφα ασφαλείας για ορισμένους καταλόγους πριν από την εγκατάσταση της ενημερωμένης έκδοσης κώδικα ασφαλείας. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα "Τρόπος κατάργησης ή επαναφοράς της επείγουσας επιδιόρθωσης" του παρακάτω άρθρου της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
330391 Πρόγραμμα εγκατάστασης επείγουσας επιδιόρθωσης για τον SQL Server

Πληροφορίες αντικατάστασης της ενημερωμένης έκδοσης κώδικα ασφαλείας

Αυτή η ενημερωμένη έκδοση κώδικα ασφαλείας αντικαθιστά όλες τις παλαιότερες ενημερωμένες εκδόσεις κώδικα ασφαλείας, οι οποίες τεκμηριώνονται στο παρακάτω άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base), συμπεριλαμβανομένης της ενημερωμένης έκδοσης κώδικα ασφαλείας στο Ενημερωτικό δελτίο ασφαλείας της Microsoft MS02-061 για τον SQL Server 7.0:
327068 Ενημερωμένη έκδοση ασφαλείας του SQL Server 7.0 για το Service Pack 4

Πληροφορίες αρχείου

Η αγγλική έκδοση αυτού του πακέτου έχει τα χαρακτηριστικά αρχείων (ή νεότερα χαρακτηριστικά αρχείων) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, αυτές μετατρέπονται στην τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της συντονισμένης παγκόσμιας ώρας (UTC) και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα Ζώνη ώρας (Time Zone) στο στοιχείο "Ημερομηνία και ώρα" (Date and Time) του Πίνακα Ελέγχου (Control Panel).
   Ημερομηνία   Ώρα    Έκδοση             Μέγεθος       Όνομα αρχείου
   -----------------------------------------------------------------------
   04-Oct-2002  23:59  2000.34.4.0        28.944 byte  Dbmssocn.dll     
   06-Sep-2002  23:55  2000.33.6.0        53.520 byte  Distrib.exe      
   06-Sep-2002  23:55  2000.33.6.0        98.576 byte  Logread.exe      
   05-May-2003  18:34                     54.904 byte  Opends60.dbg
   05-May-2003  18:34  2000.41.2.0       155.920 byte  Opends60.dll     
   05-May-2003  18:34                    132.096 byte  Opends60.pdb
   06-Sep-2002  23:56  2000.33.6.0       250.128 byte  Rdistcom.dll     
   06-Sep-2002  23:55  2000.33.6.0        82.192 byte  Replmerg.exe     
   06-Sep-2002  23:56  2000.33.6.0        78.096 byte  Replres.dll      
   17-Sep-2002  22:52                      7.941 byte  Securityhotfix.sql
   06-Sep-2002  23:56  2000.33.6.0       160.016 byte  Snapshot.exe     
   30-May-2003  04:21                     59.214 byte  Sp4_serv_uni.sql
   15-Jan-2003  01:33  2000.37.13.0      344.064 byte  Sqlagent.exe     
   06-Sep-2002  23:55  2000.33.6.0        45.056 byte  Sqlcmdss.dll     
   16-May-2003  00:18  2000.41.14.0    2.629.632 byte  Sqldmo.dll       
   16-May-2003  13:29  2000.41.14.0       81.920 byte  Sqlmap70.dll     
   29-May-2003  23:11                  4.370.404 byte  Sqlservr.dbg
   30-May-2003  02:44  2000.41.28.0    5.062.928 byte  Sqlservr.exe     
   29-May-2003  23:11                  3.589.120 byte  Sqlservr.pdb
   04-Oct-2002  23:59  2000.34.4.0        45.328 byte  Ssmsso70.dll     
   16-May-2003  00:18  2000.41.14.0       24.848 byte  Ssnmpn70.dll     
   26-Sep-2002  20:30                     28.408 byte  Ums.dbg
   26-Sep-2002  20:27  2000.33.25.0       57.616 byte  Ums.dll          
   26-Sep-2002  20:29                     99.328 byte  Ums.pdb
   16-May-2003  13:31  2000.41.14.0      151.552 byte  Xpweb70.dll

Επαλήθευση

Για να καθορίσετε την έκδοση του SQL Server που εκτελείται, χρησιμοποιήστε τις πληροφορίες που υπάρχουν στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
321185 Προσδιορισμός της έκδοσης του SQL Server
Όταν εφαρμόσετε αυτήν την ενημερωμένη έκδοση κώδικα ασφαλείας, πρέπει να εμφανιστεί η ένδειξη "7.00.1094" όταν εκτελέσετε μία από τις ακόλουθες προτάσεις SELECT:
SELECT serverproperty('productversion') 
SELECT @@Version

Αναφορές

Για περισσότερες πληροφορίες σχετικά με την ενημερωμένη έκδοση κώδικα ασφαλείας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Ιδιότητες

Αναγν. άρθρου: 821279 - Τελευταία αναθεώρηση: Πέμπτη, 27 Φεβρουαρίου 2014 - Αναθεώρηση: 7.1
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Λέξεις-κλειδιά: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com