MS03-031: Revisión de seguridad para el Service Pack 4 de SQL Server 7,0

Seleccione idioma Seleccione idioma
Id. de artículo: 821279 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo de Microsoft Knowledge Base contiene información acerca de la publicación de una revisión de seguridad para el Service Pack 4 (SP4) de SQL Server 7.0 y el SP4 de Microsoft Data Engine 1.0. Esta revisión de seguridad sustituye a todas las revisiones de seguridad anteriores documentadas en el artículo siguiente de Microsoft Knowledge Base, incluyendo la revisión de seguridad del Boletín de seguridad de Microsoft MS02-061 para SQL Server 7.0:
327068 Actualización de seguridad del Service Pack 4 de SQL Server 7.0

Notas importantes

Este paquete no contiene las correcciones de seguridad de Microsoft Data Access Components (MDAC) y Analysis Services de SQL Server.

Esta revisión de seguridad resuelve las vulnerabilidades siguientes:
  • Apropiación de canalizaciones con nombre
    Cuando SQL Server se inicia, crea una canalización con nombre específica y después escucha en ella las conexiones entrantes en el servidor. Una canalización con nombre es un canal unidireccional o bidireccional con nombre específico para la comunicación entre un servidor de canalizaciones y uno o varios clientes de canalizaciones. SQL Server comprueba la canalización con nombre para comprobar qué conexiones pueden iniciar sesión en el sistema que está ejecutando SQL Server para ejecutar consultas contra los datos almacenados en el servidor.

    En el método de comprobación de la canalización con nombre hay una deficiencia que podría permitir a un atacante que está en el sistema que ejecuta SQL Server apropiarse de la canalización con nombre cuando otro cliente usa una contraseña de inicio de sesión autenticada para iniciar sesión. Eso permitiría al atacante obtener el control de la canalización con nombre en el mismo nivel de permisos que el usuario que trata de conectarse. Si el usuario que intenta conectarse remotamente tiene un nivel de permisos superior al que tiene el atacante, éste asumirá esos derechos cuando se comprometa la seguridad de la canalización con nombre.
  • Denegación de servicio de canalización con nombre
    En la misma situación de las canalizaciones con nombre que se mencionaba en la sección "Apropiación de canalizaciones con nombre" de este boletín, un usuario no autenticado que esté en la intranet podría enviar un paquete muy grande a una canalización con nombre específica donde está escuchando el equipo que ejecuta SQL Server para que no responda.

    Esta vulnerabilidad no permitiría a un atacante ejecutar código arbitrario ni elevar sus permisos, pero podría darse una situación de denegación de servicio que requiriera el reinicio del servidor para restaurar la funcionalidad.
  • Desbordamiento de búfer de SQL Server
    Existe una deficiencia en una función específica de Windows que puede permitir que un usuario autenticado con acceso directo para iniciar sesión en el sistema donde se ejecuta SQL Server tenga la posibilidad de crear un paquete especialmente elaborado que, al enviarse al puerto de llamada a procedimiento local (LPC) de escucha del sistema, puede causar un desbordamiento de búfer. Si se explota esta vulnerabilidad, puede permitir a un usuario con permisos limitados en el sistema elevar sus permisos al nivel de la cuenta de servicio de SQL Server o causar la ejecución de código arbitrario.

Más información

Notas importantes

Lea las siguientes importantes notas acerca de la instalación de esta revisión de seguridad en un equipo que esté ejecutando el SP4 de SQL Server 7.0:

Aparece un mensaje de error cuando se conecta a un equipo basado en Microsoft Windows NT 4.0 mediante canalizaciones con nombre

Cuando se conecta a un equipo basado en Windows NT 4.0 que está ejecutando SQL Server 7.0 mediante canalizaciones con nombre y esa conexión la realiza un usuario que no es administrador, puede recibir un mensaje de error similar a uno de los siguientes:
Mensaje 1
No se pudo establecer la conexión. SQL Server no existe
Mensaje 2
No se pudo establecer la conexión. Acceso denegado.
Para obtener una revisión que resuelva este mensaje de error, vea el artículo siguiente de Microsoft Knowledge Base:
823492 Recibe el mensaje de error "No se pudo establecer la conexión" al conectar con un equipo basado en Windows NT 4.0 que está ejecutando SQL Server 2000 o SQL Server 7.0

Requisitos previos

Esta revisión de seguridad requiere el SP4 de SQL Server 7.0.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
301511 Cómo obtener el último Service Pack de SQL 7,0 Server
En las instalaciones de SQL Server 7.0 en clúster, primero debe quitar el clúster de SQL Server mediante la ejecución del Asistente para clúster de conmutación por error de SQL Server desde el nodo principal del clúster de cada servidor virtual de SQL Server.
Activo/Activo
Siga estos pasos para una instalación Activo/Activo:
  1. Compruebe que el nodo del equipo donde se instaló originalmente SQL Server 7.0 controla ambos grupos de recursos de SQL Server.
  2. En cada nodo del clúster, ejecute la utilidad Asistente para clúster de conmutación por error con el fin de quitar ese servidor virtual de SQL Server.
  3. Una vez deshecho el clúster de SQL Server, debe ejecutar el archivo ejecutable de la revisión en ambos nodos y completar la instalación de la revisión correctamente antes de volver a crear el clúster de SQL Server.
Activo/Pasivo
Siga estos pasos para una instalación Activo/Pasivo:
  1. Compruebe que el nodo del equipo donde se instaló originalmente SQL Server 7.0 controla los recursos de SQL Server.
  2. En este mismo nodo de equipo, ejecute la utilidad Asistente para clúster de conmutación por error con el fin de quitar ese servidor virtual de SQL Server.
  3. Una vez deshecho el clúster de SQL Server, debe ejecutar el archivo ejecutable de la revisión en el nodo principal únicamente y completar la instalación de la revisión correctamente antes de volver a crear el clúster de SQL Server.

Información de descarga

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete de la revisión de seguridad MS03-031 de SQL Server 7.0.
Fecha de publicación: 23.07.03

Para obtener más información acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus Microsoft utilizó el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados.

Información de instalación

Esta revisión de seguridad admite los siguientes modificadores de instalación.
Contraer esta tablaAmpliar esta tabla
ModificadorDescripción
/sDeshabilita el cuadro de diálogo de progreso Extracción automática. Debe ir delante del modificador /a.
/aEste parámetro debe aparecer delante de todos los demás, excepto /s si está ejecutando la revisión mediante el archivo EXE autoextraíble y desea incluir parámetros para realizar instalaciones desatendidas. Se trata de un parámetro obligatorio para que el programa de instalación se ejecute en el modo desatendido.
/qEste modificador hace que el programa de instalación funcione en modo silencioso sin interfaz de usuario.
BLANKSAPWDEste parámetro significa que la contraseña sa para la autenticación de SQL está en blanco. Si especifica este parámetro en equipos que ejecutan Windows NT o Windows 2000, se anulará el inicio de sesión predeterminado Autenticación de Windows y se intentará iniciar sesión con una contraseña sa en blanco. El formato correcto para este parámetro es BLANKSAPWD=1. Este parámetro sólo se reconoce en instalaciones desatendidas.
SAPWDContraseña sa que no está en blanco. Si escribe este parámetro, debe estar en el formato SAPWD =suContraseña. Este parámetro anula la Autenticación de Windows predeterminada en los equipos que ejecutan Windows NT o Windows 2000, o BLANKSAPWD, si se especificó.
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
330391 Programa de instalación de la revisión de SQL Server

Requisitos de reinicio

No tiene que reiniciar el equipo después de aplicar esta revisión de seguridad a menos que el programa de instalación de la revisión lo solicite.

Información de eliminación

No se puede desinstalar esta revisión de seguridad a menos que se hiciera una copia de seguridad de ciertos catálogos antes de instalarla. Para obtener más información al respecto, consulte la sección "Cómo quitar la revisión o revertir su instalación" del siguiente artículo de Microsoft Knowledge Base:
330391 Programa de instalación de la revisión de SQL Server

Información acerca de la sustitución de la revisión de seguridad

Esta revisión de seguridad sustituye a todas las revisiones de seguridad anteriores documentadas en el artículo siguiente de Microsoft Knowledge Base, incluyendo la revisión de seguridad del Boletín de seguridad de Microsoft MS02-061 para SQL Server 7.0:
327068 Actualización de seguridad del Service Pack 4 de SQL Server 7.0

Información del archivo

La versión en inglés de este paquete tiene los atributos de archivo mostrados en la tabla siguiente u otros posteriores. Las fechas y las horas de estos archivos se muestran según el horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria del elemento Fecha y hora del Panel de control.
Contraer esta tablaAmpliar esta tabla
FechaHoraVersiónTamañoNombre de archivo
04-10-200223:592000.34.4.028.944 bytesDbmssocn.dll
06-09-200223:552000.33.6.053.520 bytesDistrib.exe
06-09-200223:552000.33.6.098.576 bytesLogread.exe
05-05-200318:3454.904 bytesOpends60.dbg
05-05-200318:342000.41.2.0155.920 bytesOpends60.dll
05-05-200318:34132.096 bytesOpends60.pdb
06-09-200223:562000.33.6.0250.128 bytesRdistcom.dll
06-09-200223:552000.33.6.082.192 bytesReplmerg.exe
06-09-200223:562000.33.6.078.096 bytesReplres.dll
17-09-200222:527.941 bytesSecurityhotfix.sql
06-09-200223:562000.33.6.0160.016 bytesSnapshot.exe
30-05-200304:2159.214 bytesSp4_serv_uni.sql
15-01-200301:332000.37.13.0344.064 bytesSqlagent.exe
06-01-200223:552000.33.6.053.520 bytesDistrib.exe
16-05-200300:182000.41.14.02.629.632 bytesSqldmo.dll
16-05-200313:292000.41.14.081.920 bytesSqlmap70.dll
29-05-200323:114.370.404 bytesSqlservr.dbg
30-05-200302:442000.41.28.05.062.928 bytesSqlservr.exe
29-05-200323:113.589.120 bytesSqlservr.pdb
04-10-200223:592000.34.4.045.328 bytesSsmsso70.dll
16-05-200300:182000.41.14.024.848 bytesSsnmpn70.dll
26-09-200220:3028.408 bytesUms.dbg
26-09-200220:272000.33.25.057.616 bytesUms.dll
26-09-200220:2999.328 bytesUms.pdb
16-05-200313:312000.41.14.0151.552 bytesXpweb70.dll

Comprobación

Para determinar la versión de SQL Server que se está ejecutando, utilice la información del artículo de Microsoft Knowledge Base siguiente:
321185 Cómo identificar la versión y la edición de SQL Server
Después de aplicar esta versión de seguridad, debe aparecer "7.00.1094" al ejecutar una de las siguientes instrucciones SELECT:
SELECT serverproperty('productversion') 
SELECT @@Version

Referencias

Para obtener más información acerca de esta revisión de seguridad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/technet/seguridad/boletines/MS03-031-IT.asp

Propiedades

Id. de artículo: 821279 - Última revisión: jueves, 27 de febrero de 2014 - Versión: 7.1
La información de este artículo se refiere a:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Palabras clave: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com