MS03-031: תיקון אבטחה עבור SQL Server 2000 Service Pack 4

תרגומי מאמרים תרגומי מאמרים
Article ID: 821279 - View products that this article applies to.
מאמר זה נמצא בארכיון. המאמר מוצע כמו שהוא, ולא יעודכן עוד.
הרחב הכל | כווץ הכל

On This Page

תקציר

מאמר זה מתוך מאגר הידע Microsoft Knowledge Base כולל פרטים על פרסום תיקון אבטחה ל-SQL Server 7.0 Service Pack 4 (SP4) ול-Microsoft Data Engine 1.0 SP4. תיקון אבטחה זה מחליף את כל תיקוני האבטחה הקודמים, המתועדים במאמר שלהלן מתוך מאגר הידע Microsoft Knowledge Base, ובכלל זה תיקון האבטחה לעלון אבטחה MS02-061 של Microsoft עבור SQL Server 7.0:
327068 עדכון אבטחה ל-SQL Server 7.0 עבור מהדורת Service Pack 4 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

הערות חשובות

חבילה זו אינה כוללת את תיקוני האבטחה המצויים ב-Microsoft Data Access Components (MDAC) וב-SQL Server Analysis Services.

תיקון האבטחה הנוכחי פותר את הפגיעויות שלהלן:
  • חטיפת רכיב Named Pipe
    עם הפעלת SQL Server, הוא יוצר רכיב Named Pipe ספציפי ולאחר מכן מאזין באמצעותו לחיבורים נכנסים לשרת. רכיב Named Pipe הוא ערוץ ספציפי בעל שם, חד-כיווני או דו-כיווני, לתקשורת בין שרת pipe לבין מחשב לקוח pipe אחד או יותר. SQL Server בודק את רכיב ה-named pipe כדי לוודא אילו התקשרויות יכולות להתחבר למערכת המפעילה את SQL Server כדי להפעיל שאילתות מול הנתונים המאוחסנים בשרת.

    בשיטת הבדיקה עבור רכיב ה-named pipe קיים ליקוי העלול לאפשר לתוקף מקומי במערכת, המפעיל את SQL Server, לחטוף את (לקבל שליטה על) רכיב ה-named pipe כאשר מחשב לקוח אחר עושה שימוש בסיסמת התחברות מאומתת כדי להיכנס למערכת. הדבר עלול לאפשר לתוקף לקבל שליטה על רכיב ה-named pipe באותה רמת הרשאות של המשתמש המנסה להתחבר למערכת. אם למשתמש המנסה להתחבר למערכת מרחוק יש רמת הרשאות גבוהה מזו של התוקף, יתפוס התוקף הרשאות אלו כאשר רכיב ה-named pipe נמצא בסיכון.
  • מניעת שירות מרכיב Named Pipe
    בתרחיש של רכיבי named pipe הזהה לתרחיש המוזכר בסעיף 'חטיפת רכיב Named Pipe' בעלון זה, אפשר כי משתמש לא-מאומת שהוא מקומי לרשת האינטרה-נט ישלח מנה גדולה מאד לרכיב named pipe ספציפי, אליו מאזין מחשב שבו פועל SQL Server, ולגרום לו להפסיק להגיב.

    פגיעות זו לא תאפשר לתוקף להפעיל קוד שרירותי או להעלות את רמת ההרשאות שלו, אך אפשר כי יתקיים מצב של מניעת שירות שיחייב הפעלה מחדש של השרת כדי לחזור לתפקוד.
  • הצפת מאגר ב-SQL Server
    בפונקציה מסוימת של מערכת Windows קיים ליקוי העלול לאפשר למשתמש מאומת, שיש לו גישה ישירה למערכת המפעילה את SQL Server, ליצור מנה מתוכננת במיוחד. כאשר תישלח מנה זו ליציאת המערכת המאזינה לקריאה לפרוצדורה מקומית (LPC), עלול המאגר להיות מוצף. ליקוי זה, כשעושים בו שימוש, עלול לאפשר למשתמש בעל הרשאות מוגבלות במערכת להעלות את רמת ההרשאות שלו ולהשוותה לזו של חשבון השירות של SQL Server, או לגרום להפעלת קוד שרירותי.

מידע נוסף

הערות חשובות

קרא את ההערות החשובות שלהלן על התקנת תיקון אבטחה זה במחשב שבו פועל SQL Server 7.0 SP4.

מופיעה הודעת שגיאה בעת התחברות למחשב מבוסס Microsoft Windows NT 4.0 באמצעות רכיבי Named Pipe

כאשר אתה מתחבר למחשב מבוסס Windows NT 4.0 שבו פועל Microsoft SQL Server 7.0 באמצעות רכיבי Named Pipe, וכאשר אותה התחברות מתבצעת על-ידי משתמש שאינו מנהל מערכת, עשויה להופיע הודעת שגיאה הדומה לאחת מהבאות:
הודעה 1
Connection could not be established. SQL Server does not exist
הודעה 2
Connection could not be established. Access is denied.
כדי להשיג תיקון חם לפתרון הודעת שגיאה זו, עיין במאמר שלהלן מתוך מאגר הידע Microsoft Knowledge Base:
823492 בעת התחברות למחשב מבוסס Windows NT 4.0 שבו פועל SQL Server 2000 או SQL Server 7.0 מתקבלת הודעת שגיאה בנוסח Connection Could Not Be Established (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

תנאים מוקדמים

תיקון אבטחה זה מחייב שימוש ב-SQL Server 7.0 SP4.

לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
301511 כיצד ניתן להשיג את מהדורת ה-service pack העדכנית של SQL Server 7.0 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
עבור התקנות אשכולות של SQL Server 7.0, יש תחילה לפרק את אשכולות SQL Server על-ידי הפעלת האשף SQL Server Failover Wizard מצומת האשכולות העיקרי של כל SQL Server וירטואלי.
Active/Active
בצע את הפעולות הבאות עבור התקנה מסוג Active/Active:
  1. ודא כי צומת המחשבים בו הותקן SQL Server 7.0 במקור, מפקח על שתי קבוצות המשאבים של SQL Server גם יחד.
  2. בכל צומת של האשכול, הפעל את תוכנית השירות של האשף Failover Setup Wizard כדי להסיר את אותו SQL Server וירטואלי.
  3. לאחר פירוק אשכול ה-SQL Server יש להפעיל את יישום התיקון החם בשני הצמתים, ולסיים בהצלחה את התקנת התיקון החם לפני בניה מחדש של אשכול ה-SQL Server.
Active/Passive
בצע את הפעולות הבאות עבור התקנה מסוג Active/Passive:
  1. ודא כי צומת המחשבים בו הותקן SQL Server 7.0 תחילה מפקח על המשאבים של SQL Server.
  2. בצומת מחשבים זה, הפעל את תוכנית השירות של האשף Failover Setup Wizard כדי להסיר את אותו SQL Server וירטואלי.
  3. לאחר פירוק אשכול ה-SQL Server יש להפעיל את יישום התיקון החם בצומת העיקרי בלבד ולסיים בהצלחה את התקנת התיקון החם, לפני בניה מחדש של אשכול ה-SQL Server.

מידע על ההורדה

הקובץ הבא עומד לרשותך להורדה במרכז ההורדות של Microsoft:
כווץ את התמונההרחב את התמונה
הורדה
הורד את חבילת תיקון האבטחה MS03-031 עבור SQL Server 7.0 כעת.
תאריך הפרסום: 23 ביולי 2003

לקבלת מידע נוסף על הורדת קבצי תמיכה של Microsoft, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
119591 כיצד לקבל קבצי תמיכה של Microsoft מהשירותים המקוונים (Online Services) (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
Microsoft סרקה קובץ זה לאיתור וירוסים. Microsoft השתמשה בתוכנת איתור הווירוסים העדכנית ביותר, שהייתה זמינה בתאריך פרסום הקובץ. הקובץ מאוחסן בשרתים מאובטחים המסייעים למנוע ביצוע שינויים בלתי מורשים בקובץ.

מידע על ההתקנה

תיקון אבטחה זה תומך בבוררי ההתקנה הבאים.
כווץ את הטבלההרחב את הטבלה
בוררתיאור
/sמשבית את תיבת הדו-שיח של התקדמות Self Extraction (חילוץ עצמי). חייב לבוא לפני הבורר /a.
/aפרמטר זה חייב לבוא לפני כל הפרמטרים האחרים, פרט לפרמטר /s, אם אתה מפעיל את התיקון החם באמצעות קובץ ה-EXE של חילוץ עצמי וברצונך לכלול פרמטרים עבור התקנות ללא התערבות. זהו פרמטר חובה להפעלת תוכנית ההתקנה במצב ללא התערבות.
/qבורר זה גורם לתוכנית ההתקנה לפעול במצב שקט ללא ממשק משתמש.
BLANKSAPWDפרמטר זה פירושו כי הסיסמה sa עבור אימות SQL היא ריקה. לאחר הזנת פרמטר זה במחשבים הפועלים באמצעות מערכת Windows NT או Windows 2000, מתרחשת עקיפת ברירת המחדל של הכניסה לאימות של Windows ומתבצע ניסיון כניסה למערכת עם סיסמת sa ריקה. התבנית הנכונה עבור פרמטר זה היא BLANKSAPWD=1. פרמטר זה מזוהה רק עבור התקנות ללא התערבות.
SAPWDסיסמת sa שאינה ריקה. הזנת פרמטר זה חייבת להיעשות בתבנית SAPWD=yoursapassword. פרמטר זה עוקף את ברירת המחדל של אימות Windows במחשבים הפועלים באמצעות מערכת Windows NT או Windows 2000 או הפרמטר BLANKSAPWD, אם הוזן.
לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
330391 תוכנית ההתקנה של תיקון חם ל-SQL Server (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

חובת הפעלה מחדש

אין חובה להפעיל מחדש את המחשב לאחר יישום תיקון אבטחה זה אלא אם תוכנית ההתקנה של התיקון החם מנחה אותך לעשות כן.

מידע בדבר הסרת ההתקנה

אין תמיכה בהסרת תיקון אבטחה זה אלא אם בוצע גיבוי של קטלוגים מסוימים לפני ההתקנה של תיקון האבטחה. לקבלת מידע נוסף, עיין בסעיף 'כיצד להסיר או להחזיר לאחור את התיקון החם' במאמר שלהלן מתוך מאגר הידע Microsoft Knowledge Base:
330391 תוכנית ההתקנה של תיקון חם ל-SQL Server (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

מידע על החלפת תיקוני אבטחה

תיקון אבטחה זה מחליף את כל תיקוני האבטחה הקודמים, המתועדים במאמר שלהלן מתוך מאגר הידע Microsoft Knowledge Base, ובכלל זה תיקון האבטחה לעלון אבטחה MS02-061 של Microsoft עבור SQL Server 7.0:
327068 עדכון אבטחה ל-SQL Server 7.0 עבור מהדורת Service Pack 4 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

פרטי הקובץ

הגירסה האנגלית של חבילה זו היא בעלת תכונות הקובץ הרשומות בטבלה הבאה (או תכונות קובץ מתקדמות יותר). התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). כאשר תציג את הנתונים בקובץ, השעה תוצג בהמרה לזמן המקומי. כדי לברר את הפרש השעות בין זמן UTC לזמן המקומי, השתמש בכרטיסייה אזור זמן שבפריט 'תאריך ושעה' בלוח הבקרה.
   תאריך         שעה    גירסה           גודל            שם קובץ
   ----------------------------------------------------------------------
   4 באוק' 2002  23:59  2000.34.4.0     28,944 בתים     Dbmssocn.dll     
   6 בספט' 2002  23:55  2000.33.6.0     53,520 בתים     Distrib.exe      
   6 בספט' 2002  23:55  2000.33.6.0     98,576 בתים     Logread.exe      
   5 במאי 2003   18:34                  54,904 בתים     Opends60.dbg
   5 במאי 2003   18:34  2000.41.2.0     155,920 בתים    Opends60.dll     
   5 במאי 2003   18:34                  132,096 בתים    Opends60.pdb
   6 בספט' 2002  23:56  2000.33.6.0     250,128 בתים    Rdistcom.dll     
   6 בספט' 2002  23:55  2000.33.6.0     82,192 בתים     Replmerg.exe     
   6 בספט' 2002  23:56  2000.33.6.0     78,096 בתים     Replres.dll      
   17 בספט' 2002 22:52                  7,941 בתים      Securityhotfix.sql
   6 בספט' 2002  23:56  2000.33.6.0     160,016 בתים    Snapshot.exe     
   30 במאי 2003  04:21                  59,214 בתים     Sp4_serv_uni.sql
   15 בינו' 2003 01:33  2000.37.13.0    344,064 בתים    Sqlagent.exe     
   6 בספט' 2002  23:55  2000.33.6.0     45,056 בתים     Sqlcmdss.dll     
   16 במאי 2003  00:18  2000.41.14.0    2,629,632 בתים  Sqldmo.dll       
   16 במאי 2003  13:29  2000.41.14.0    81,920 בתים     Sqlmap70.dll     
   29 במאי 2003  23:11                  4,370,404 בתים  Sqlservr.dbg
   30 במאי 2003  02:44  2000.41.28.0    5,062,928 בתים  Sqlservr.exe     
   29 במאי 2003  23:11                  3,589,120 בתים  Sqlservr.pdb
   4 באוק' 2002  23:59  2000.34.4.0     45,328 בתים     Ssmsso70.dll     
   16 במאי 2003  00:18  2000.41.14.0    24,848 בתים     Ssnmpn70.dll     
   26 בספט' 2002 20:30                  28,408 בתים     Ums.dbg
   26 בספט' 2002 20:27  2000.33.25.0    57,616 בתים     Ums.dll          
   26 בספט' 2002 20:29                  99,328 בתים     Ums.pdb
   16 במאי 2003  13:31  2000.41.14.0    151,552 בתים    Xpweb70.dll

אימות

כדי לברר איזו גירסה של SQL Server נמצאת ברשותך, השתמש במידע הנמצא במאמר שלהלן מתוך מאגר הידע Microsoft Knowledge Base:
321185 כיצד לזהות את הגירסה ואת המהדורה של SQL Server שבהן אתה משתמש (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
לאחר יישומו של תיקון אבטחה זה, הפעלת אחת מהצהרות SELECT הבאות אמורה להחזיר את הערך 7.00.1094:
SELECT serverproperty('productversion')
SELECT @@Version

מידע נוסף

לקבלת פרטים נוספים על תיקון אבטחה זה, בקר באתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

מאפיינים

Article ID: 821279 - Last Review: יום חמישי 27 פברואר 2014 - Revision: 7.1
המידע במאמר זה חל על:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
מילות מפתח 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com