MS03-031: SQL Server 7.0 Service Pack 4 -tietoturvakorjaus

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 821279 - Näytä tuotteet, joita tämä artikkeli koskee.
Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Yhteenveto

Tämä Microsoft Knowledge Base -artikkeli sisältää tietoja SQL Server 7.0 Service Pack 4:n (SP4) ja Microsoft Data Engine 1.0 SP4:n tietoturvakorjausten julkaisemisesta. Tämä tietoturvakorjaus ohittaa kaikki aiemmat tietoturvakorjaukset, joita on käsitelty seuraavassa Microsoft Knowledge Base -artikkelissa, mukaan lukien Microsoftin tietoturvatiedotteen MS02-061 SQL Server 7.0 -tietoturvakorjauksen:
327068 SQL Server 7.0 Service Pack 4 -tietoturvakorjaus (tämä artikkeli saattaa olla englanninkielinen)

Tärkeitä huomautuksia

Tämä paketti ei sisällä Microsoft Data Access Componentsin (MDAC) ja SQL Server Analysis Servicesin tietoturvakorjauksia.

Tämä tietoturvakorjaus korjaa seuraavat heikkoudet:
  • Nimetyn putken kaappaaminen
    Kun SQL Server käynnistyy, se luo palvelimeen tuleville yhteyksille tietyn nimetyn putken ja tarkkailee sitä. Nimetty putki on erityisesti nimetty yksi- tai kaksisuuntainen tietoliikennekanava putkipalvelimen ja yhden tai useamman putkiasiakkaan välillä. SQL Server tarkistaa nimetyn putken ja tarkistaa, mitkä yhteydet pystyvät kirjautumaan SQL Server -palvelinta suorittavaan järjestelmään suorittamaan kyselyitä palvelimeen tallennetuista tiedoista.

    Nimetyn putken tarkistustavassa on virhe, jonka avulla SQL Server -palvelimen paikallinen hyökkääjä saattaa pystyä kaappaamaan (ottamaan haltuunsa) nimetyn putken, kun toinen asiakas käyttää todennettua kirjautumissalasanaa kirjautumisessa. Tämän myötä hyökkääjä saisi nimetyn putken haltuunsa samassa käyttöoikeustasossa kuin käyttäjä, joka yrittää muodostaa yhteyttä. Jos etäyhteyden muodostamista yrittävällä käyttäjällä on suurempi käyttöoikeustaso kuin hyökkääjällä, hyökkääjä saa kyseiset käyttöoikeudet itselleen, jos hän onnistuu kaappaamaan nimetyn putken itselleen.
  • Nimetyn putken palvelunesto
    Tämän artikkelin Nimetyn putken kaappaaminen -kohdassa kuvatussa hyökkäystilanteessa todentamaton paikallinen intranet-käyttäjä saattaa pystyä lähettämään hyvin suuren paketin määritettyyn nimettyyn putkeen, jota SQL Server -palvelinta suorittava järjestelmä tarkkailee, ja näin jumiuttamaan järjestelmän.

    Tämä heikkous ei anna hyökkääjän suorittaa haluamaansa koodia tai nostaa käyttöoikeuksiensa tasoa. Mahdollisen palvelunestotilan vuoksi palvelin saatetaan kuitenkin joutua käynnistämään uudelleen, jotta se voisi jatkaa toimintaa.
  • SQL Server -palvelimen puskurin ylivuoto
    Tietyssä Windows-toiminnossa on virhe, jonka avulla suorassa yhteydessä oleva SQL Server -palvelinta suorittavaan järjestelmään kirjautumaan pystyvä todentamaton käyttäjä saattaa pystyä luomaan erityisesti muotoillun paketin, jonka lähettäminen järjestelmän tarkkailemaan LPC-porttiin saattaa aiheuttaa puskurin ylivuodon. Jos tätä virhettä onnistutaan hyödyntämään onnistuneesti, järjestelmässä rajoitetut käyttöoikeudet omistava käyttäjä saattaa pystyä nostamaan käyttöoikeustasoaan SQL Server -tilin tasolle tai suorittamaan haluamaansa koodia.

Enemmän tietoa

Tärkeitä huomautuksia

Lue seuraavat tärkeät huomautukset tämän tietoturvakorjauksen asentamisesta tietokoneeseen, jossa suoritetaan SQL Server 7.0 SP4 -palvelinta.

Virhesanoma yritettäessä muodostaa yhteys Microsoft Windows NT 4.0 -tietokoneeseen nimettyjen putkien avulla

Kun muodostat yhteyden käyttäen nimettyjä putkia Windows NT 4.0 -tietokoneeseen, jossa SQL Server 7.0 on käynnissä, ja yhteys muodostetaan ilman järjestelmänvalvojan oikeuksia, näyttöön tulee virhesanoma, joka muistuttaa jotakin seuraavista:
Sanoma 1
Yhteyttä ei voitu muodostaa. SQL Server -palvelinta ei ole.
Sanoma 2
Yhteyttä ei voitu muodostaa. Käyttö estetty.
Jos haluat hankkia tämän virhesanoman ilmaiseman virhetilanteen estävän korjaustiedoston, lue seuraava Microsoft Knowledge Base -tietokannan artikkeli:
823492 Yhteyttä ei voitu muodostaa -virhesanoma yritettäessä muodostaa yhteyttä SQL Server 2000:ta tai SQL Server 7.0:aa suorittavaan Windows NT 4.0 -tietokoneeseen (tämä artikkeli saattaa olla englanninkielinen)

Edellytykset

Tämä tietoturvakorjaus edellyttää SQL Server 7.0 SP4:n.

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
301511 Uusimman SQL Server 7.0 Service Pack -paketin hankkiminen (tämä artikkeli saattaa olla englanninkielinen)
Klusteroiduissa SQL Server 7.0 -asennuksissa SQL Server -palvelimen klusterointi on ensin purettava suorittamalla ohjattu SQL Server Failover Wizard -toiminto kunkin näennäisen SQL Server -palvelimen ensisijaisesta klusterisolmusta.
Aktiivinen/aktiivinen
Tee nämä toimet, kun kyseessä on Aktiivinen/aktiivinen-asennus:
  1. Varmista, että tietokonesolmu, johon SQL Server 7.0 asennettiin alun perin, ohjaa molempia SQL Serverin resurssiryhmiä.
  2. Poista näennäinen SQL Server suorittamalla klusterin jokaisessa solmussa ohjattu Failover Setup Wizard -toiminto.
  3. Kun olet purkanut SQL Server -palvelimen klusteroinnin, suorita suoritettava korjaustiedosto (.exe) kummassakin solmussa ja viimeistele korjauksen asennus, ennen kuin klusteroit SQL Server -palvelimen uudelleen.
Aktiivinen/passiivinen
Tee nämä toimet, kun kyseessä on Aktiivinen/passiivinen-asennus:
  1. Varmista, että tietokonesolmu, johon SQL Server 7.0 asennettiin alun perin, ohjaa molempia SQL Serverin resurssiryhmiä.
  2. Poista näennäinen SQL Server suorittamalla tässä samassa tietokonesolmussa ohjattu Failover Setup Wizard -toiminto.
  3. Kun olet purkanut SQL Server -palvelimen klusteroinnin, suorita suoritettava korjaustiedosto (.exe) vain ensisijaisessa solmussa ja viimeistele korjauksen asennus, ennen kuin klusteroit SQL Server -palvelimen uudelleen.

Lataamistiedot

Voit ladata seuraavan tiedoston Microsoft Download Centeristä:
Kutista tämä kuvaLaajenna tämä kuva
Lataa
Lataa SQL Server 7.0:n tietoturvakorjauksen MS03-031 paketti nyt.
Julkaisupäivämäärä: 23.7.2003

Lisätietoja Microsoft-tukitiedostojen lataamisesta ja asentamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
119591 Microsoft-tukitiedostojen hankkiminen online-palveluista
Microsoft on tarkistanut tämän tiedoston virusten varalta. Microsoft käytti viimeisintä virustentarkistusohjelmaa, joka oli saatavana tiedoston julkaisupäivänä. Tiedosto on tallennettu suojattuihin palvelimiin, joten sitä ei voi muokata luvattomasti.

Asennustiedot

Tämä tietoturvakorjaus tukee seuraavia asennusohjelman valitsimia:
Kutista tämä taulukkoLaajenna tämä taulukko
ValitsinKuvaus
/sPoistaa automaattisen purkamisen edistymisen valintaikkunan käytöstä. Tämän on tultava ennen valitsinta /a .
/aTätä parametria on käytettävä ennen kaikkia muita parametreja lukuun ottamatta valitsinta /s, jos tietoturvakorjaus asennetaan käyttämällä automaattisesti purkautuvaa .exe-tiedostoa ja asennus halutaan suorittaa ilman käyttäjän toimia. Tämä on pakollinen parametri, joka vaaditaan, jotta asennusohjelma voi toimia valvomattomassa tilassa.
/qTämä valitsin aiheuttaa sen, että asennusohjelma toimii hiljaisessa tilassa ilman käyttöliittymää.
BLANKSAPWDTarkoittaa tyhjää sa (SQL Authentication) -salasanaa, jota tarvitaan SQL-todennuksessa. Jos määrität tämän parametrin Windows NT- tai Windows 2000 -tietokoneissa, oletusarvoisen Windows-todennuksen kirjautumistapa ohitetaan ja kirjautumista yritetään tyhjän sa-salasanan avulla. Tämän parametrin oikea muoto on BLANKSAPWD=1. Tämä parametri tunnistetaan vain valvomattomien asennusten yhteydessä.
SAPWDMuu kuin tyhjä sa-salasana. Jos annat tämän parametrin, sen muodon on oltava SAPWD=omasalasana. Tämä parametri ohittaa oletusarvoisen Windows-todennuksen Windows NT- tai Windows 2000 -tietokoneissa sekä BLANKSAPWD-parametrin, jos sellainen on määritetty.
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
330391 SQL Serverin korjaustiedostojen asennusohjelma (tämä artikkeli saattaa olla englanninkielinen)

Uudelleenkäynnistysvaatimus

Sinun ei tarvitse käynnistää tietokonetta uudelleen tämän tietoturvakorjauksen asentamisen jälkeen, ellei korjaustiedoston asennusohjelma erityisesti niin kehota tekemään.

Poistamistiedot

Tämän korjaustiedoston poistamista ei tueta, ellei tiettyjä luetteloita ole varmuuskopioitu ennen tietoturvakorjauksen asentamista. Lue lisätietoja seuraavan Microsoft Knowledge Base -tietokannan artikkelin korjaustiedoston poistamista tai sitä edeltävään tilaan palauttamista käsittelevästä osasta:
330391 SQL Serverin korjaustiedostojen asennusohjelma (tämä artikkeli saattaa olla englanninkielinen)

Tietoturvakorjauksen korvaustiedot

Tämä tietoturvakorjaus ohittaa kaikki aiemmat tietoturvakorjaukset, joita on käsitelty seuraavassa Microsoft Knowledge Base -artikkelissa, mukaan lukien Microsoftin tietoturvatiedotteen MS02-061 SQL Server 7.0 -tietoturvakorjauksen:
327068 SQL Server 7.0 Service Pack 4 -tietoturvakorjaus (tämä artikkeli saattaa olla englanninkielinen)

Tiedostojen tiedot

Tämän paketin englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.
   Päiväys   Aika       Versio      Koko     Tiedostonimi
   -----------------------------------------------------------------------
   4.10.2002  23:59  2000.34.4.0        28,944 tavua  Dbmssocn.dll     
   6.9.2002  23:55  2000.33.6.0        53,520 tavua  Distrib.exe      
   6.9.2002  23:55  2000.33.6.0        98,576 tavua  Logread.exe      
   5.5.2003  18:34                     54,904 tavua  Opends60.dbg
   5.5.2003  18:34  2000.41.2.0       155,920 tavua  Opends60.dll     
   5.5.2003  18:34                    132,096 tavua  Opends60.pdb
   6.9.2002  23:56  2000.33.6.0       250,128 tavua  Rdistcom.dll     
   6.9.2002  23:55  2000.33.6.0        82,192 tavua  Replmerg.exe     
   6.9.2002  23:56  2000.33.6.0        78,096 tavua  Replres.dll      
   17.9.2002  22:52                      7,941 tavua  Securityhotfix.sql
   6.9.2002  23:56  2000.33.6.0       160,016 tavua  Snapshot.exe     
   30.5.2003  04:21                     59,214 tavua  Sp4_serv_uni.sql
   15.1.2003  01:33  2000.37.13.0      344,064 tavua  Sqlagent.exe     
   6.9.2002  23:55  2000.33.6.0        45,056 tavua  Sqlcmdss.dll     
   16.5.2003  00:18  2000.41.14.0    2,629,632 tavua  Sqldmo.dll       
   16.5.2003  13:29  2000.41.14.0       81,920 tavua  Sqlmap70.dll     
   29.5.2003  23:11                  4,370,404 tavua  Sqlservr.dbg
   30.5.2003  02:44  2000.41.28.0    5,062,928 tavua  Sqlservr.exe     
   29.5.2003  23:11                 3,589,120 tavua  Sqlservr.pdb
   4.10.2002  23:59  2000.34.4.0        45,328 tavua  Ssmsso70.dll     
   16.5.2003  00:18  2000.41.14.0       24,848 tavua  Ssnmpn70.dll     
   26.9.2002  20:30                     28,408 tavua  Ums.dbg
   26.9.2002  20:27  2000.33.25.0       57,616 tavua  Ums.dll          
   26.9.2002  20:29                     99,328 tavua  Ums.pdb
   16.5.2003  13:31  2000.41.14.0      151,552 tavua  Xpweb70.dll

Tarkistus

Voit selvittää käytössä olevan SQL Server -version käyttämällä apuna seuraavan Microsoft Knowledge Base -artikkelin tietoja:
321185 SQL Serverin version selvittäminen (tämä artikkeli saattaa olla englanninkielinen)
Kun olet asentanut tämän tietoturvakorjauksen, seuraavien SELECT-lausekkeiden suorittamisen pitäisi palauttaa merkkijonon 7.00.1094:
SELECT serverproperty('productversion') 
SELECT @@Version

Suositukset

Saat lisätietoja tästä tietoturvakorjauksesta seuraavasta Microsoftin Web-sivustosta:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Ominaisuudet

Artikkelin tunnus: 821279 - Viimeisin tarkistus: 27. helmikuuta 2014 - Versio: 7.1
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Hakusanat: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com