MS03-031: Biztonsági javítás az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához

A cikk fordítása A cikk fordítása
Cikk azonosítója: 821279 - A cikkben érintett termékek listájának megtekintése.
A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

A Microsoft Tudásbázis jelen cikke az SQL Server 7.0-s verziójának Service Pack 4 (SP4), valamint a Microsoft Data Engine 1.0-s verziójának SP4 szervizcsomagjához megjelent biztonsági javítást ismerteti. Ez a biztonsági javítás a Microsoft Tudásbázis alábbi cikkében ismertetett összes korábbi biztonsági javítást helyettesíti (beleértve az SQL Server 7.0-s verziójához kiadott, MS02-061-es számú Microsoft Security Bulletin cikkben ismertetett javítást is):
327068 Biztonsági frissítés az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fontos megjegyzések

Ez a csomag nem tartalmazza a Microsoft Data Access Components (MDAC) és az SQL Server Analysis Services szolgáltatás biztonsági javításait.

A javítás a következő biztonsági résekre jelent megoldást:
  • Named pipe eltérítése
    Az SQL Server indításkor létrehoz egy adott named pipe-ot, amelyen azt követően a kiszolgáló bejövő kapcsolatait figyeli. A named pipe egy speciális névvel rendelkező egy- vagy kétirányú csatorna, amely egy pipe-kiszolgáló és egy vagy több pipe-ügyfél között biztosít kommunikációt. Az SQL Server a named pipe ellenőrzésével megállapítja, hogy a kapcsolatok bejelentkezhetnek-e az SQL Server programot futtató rendszerbe annak érdekében, hogy a kiszolgálón tárolt adatokon lekérdezéseket futtassanak.

    A named pipe ellenőrzési módszerében egy hiba található, amely lehetővé teheti az esetleges támadónak – ebben az esetben az SQL Server programot futtató rendszer egy helyi felhasználójának –, hogy eltérítse a named pipe-ot (vagyis átvegye felette az irányítást), amikor egy másik ügyfél egy hitelesített jelszóval bejelentkezik. Ily módon a támadó ugyanazzal az engedélyszinttel kapja meg a named pipe feletti irányítást, mint a kapcsolódni próbáló felhasználó. Amennyiben a távolról csatlakozni kívánó felhasználó a támadóénál magasabb szintű jogosultságokkal rendelkezik, a támadó a named pipe feletti vezérlés megszerzésekor szert tesz ezekre.
  • Named pipe-alapú szolgáltatásmegtagadás
    A named pipe eltérítésével kapcsolatos fenti részben ismertetettekkel megegyező helyzetben a helyi intranetes hitelesítetlen felhasználók nagyon nagy méretű adatcsomagot küldhetnek annak a named pipe-nak, ahol az SQL Server szolgáltatást futtató rendszer figyelést végez, ezáltal megbénítva azt.

    A biztonsági rés nem teszi lehetővé a támadónak tetszőleges kód futtatását és magasabb szintű jogosultságok megszerzését, ám szolgáltatásmegtagadás így is felléphet, ennek következtében pedig a működés visszaállításához újra kell indítani a kiszolgálót.
  • Puffertúlcsordulás az SQL Server programban
    A Windows rendszer egyik függvényének hibája lehetővé teheti egy olyan hitelesített felhasználónak, aki az SQL Server programot futtató rendszerhez a bejelentkezést biztosító közvetlen hozzáféréssel rendelkezik, hogy egy speciálisan létrehozott adatcsomagot a rendszer helyi eljáráshívási (LPC-) portjára küldve puffertúlcsordulást okozzon. A biztonsági rés kiaknázása révén egy korlátozott engedélyekkel rendelkező felhasználó az SQL Server szolgáltatásfiókjának szintjére emelheti az engedélyeit, valamint tetszőleges kódot futtathat.

További információ

Fontos megjegyzések

Olvassa el az alábbi fontos megjegyzéseket a biztonsági javítás SQL Server 7.0 SP4 programot futtató számítógépre való telepítésére vonatkozóan.

Hibaüzenet jelenik meg, amikor named pipe-okkal csatlakozik Microsoft Windows NT 4.0 rendszerű számítógéphez

Ha egy Windows NT 4.0 rendszerű, Microsoft SQL Server 2000 programot futtató számítógéphez named pipe-ok használatával próbál kapcsolódni, és a kapcsolatot nem rendszergazdaként hozza létre, az alábbiak egyikéhez hasonló hibaüzenete jelenhet meg:
1. üzenet
A kapcsolat nem hozható létre. Az SQL-kiszolgáló nem létezik.
2. üzenet
A kapcsolat nem hozható létre. A hozzáférés megtagadva.
A probléma megoldásához szükséges gyorsjavítás beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
823492 A kapcsolódás meghiúsulására utaló hibaüzenet jelenik meg, ha csatlakozik egy Windows NT 4.0 rendszerű, SQL Server 2000 vagy SQL Server 7.0 programot futtató számítógéphez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Előfeltételek

A biztonsági javításhoz az SQL Server 7.0-s verziójának SP4 szervizcsomagja szükséges.

A Microsoft Tudásbázis kapcsolódó cikke:
301511 Az SQL Server 7.0 alkalmazás legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Az SQL Server 7.0 fürtözött példányai esetén először nem fürtözötté kell tenni az SQL Server szolgáltatást: ehhez valamennyi virtuális SQL Server kiszolgáló elsődleges fürtcsomópontjából futtassa az SQL Server Failover Wizard varázslót.
Aktív/aktív üzemmód
Aktív/aktív üzemmódú példány esetén a következőket kell tennie:
  1. Győződjön meg arról, hogy az SQL Server 7.0 telepítéséhez eredetileg használt számítógép-csomópont az SQL Server mindkét erőforráscsoportját ellenőrzi.
  2. A fürt valamennyi csomópontján futtassa a Failover Setup Wizard varázsló-segédprogramot, és segítségével távolítsa el a virtuális SQL Server kiszolgálót.
  3. Az SQL Server fürtözetlenné tétele után futtassa a gyorsjavítás futtatható fájlját mindkét csomóponton, és az SQL Server újrafürtözését megelőzően hajtsa végre a gyorsjavítás teljes telepítését.
Aktív/passzív üzemmód
Aktív/passzív üzemmódú példány esetén az alábbiak szerint járjon el:
  1. Győződjön meg arról, hogy az SQL Server 7.0 telepítéséhez eredetileg használt számítógép-csomópont az SQL Server mindkét erőforráscsoportját ellenőrzi.
  2. Ugyanezen a csomóponton futtassa a Failover Setup Wizard varázsló-segédprogramot, és segítségével távolítsa el a virtuális SQL Server kiszolgálót.
  3. Az SQL Server fürtözetlenné tétele után csak az elsődleges fürtön futtassa a gyorsjavítás futtatható fájlját, és az SQL Server újrafürtözését megelőzően hajtsa végre a gyorsjavítás teljes telepítését.

Letöltési információk

A következő fájl letölthető a Microsoft letöltőközpontjából:
A kép összecsukásaA kép kibontása
Letöltés
Az SQL Server 7.0-s verziójához készült biztonsági javítás (MS03-031) letöltése
Kiadás dátuma: 2003. július 23.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési információk

A biztonsági javítás a következő telepítési kapcsolókat támogatja:
A táblázat összecsukásaA táblázat kibontása
KapcsolóLeírás
/sLetiltja az önkicsomagolási folyamat előrehaladását jelző Self Extraction párbeszédpanelt. Meg kell előznie a /a kapcsolót.
/aEnnek a paraméternek az összes többi előtt kell szerepelnie, kivéve a /s kapcsolót, ha a gyorsjavítást az önkicsomagoló EXE fájllal telepíti, és meg kívánja adni a felügyelet nélküli telepítés paramétereit. Ezt a paramétert kötelező megadni a telepítő felügyelet nélküli üzemmódban való futtatásához.
/qA kapcsoló hatására a telepítőprogram csendes üzemmódban, felhasználói felület nélkül fut.
BLANKSAPWD Ezzel a paraméterrel beállíthatja, hogy az SQL-alapú hitelesítéshez ne legyen megadva rendszergazdai jelszó. Amennyiben Windows NT vagy Windows 2000 rendszert futtató számítógépeken megadja ezt a paramétert, a rendszer felülbírálja az alapértelmezett Windows-hitelesítésre épülő bejelentkezést, és üres rendszergazdai jelszóval próbál meg bejelentkezni. A paraméter helyes formátuma a következő: BLANKSAPWD=1. Ez a paraméter csak felügyelet nélküli telepítés esetén használható.
SAPWDNem üres rendszergazdai jelszó. Ha megadja ezt a paramétert, használja az SAPWD=rendszergazdai_jelszó formátumot. Ha Windows NT vagy Windows 2000 rendszerű számítógépeken megadja ezt a paramétert, a rendszer felülbírálja az alapértelmezett Windows-hitelesítést, illetve a BLANKSAPWD kapcsolót.
A Microsoft Tudásbázis kapcsolódó cikke:
330391 Az SQL Server gyorsjavítás-telepítője (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Újraindítási követelmény

A biztonsági javítás telepítését követően nincs szükség a számítógép újraindítására, hacsak a gyorsjavítás-telepítő ezt külön nem kéri.

Eltávolítási információk

A biztonsági javítás csak akkor távolítható el, ha annak telepítése előtt egyes katalógusokról biztonsági másolatot készített. További információt a Microsoft Tudásbázis következő cikkének „How to Remove or Rollback the Hotfix” (Gyorsjavítás eltávolítása vagy visszaállítása) című szakaszában olvashat:
330391 Az SQL Server gyorsjavítás-telepítője (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Biztonsági javítások helyettesítése

Ez a biztonsági javítás a Microsoft Tudásbázis alábbi cikkében ismertetett összes korábbi biztonsági javítást helyettesíti (beleértve az SQL Server 7.0-s verziójához kiadott, MS02-061-es számú Microsoft Security Bulletin cikkben ismertetett javítást is):
327068 Biztonsági frissítés az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fájlinformációk

A biztonsági javítás angol nyelvű változatában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformáció megtekintése során a dátumokat és az időpontokat helyi időre konvertálja a rendszer. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Idő    Verzió            Méret    Fájlnév
   -----------------------------------------------------------------
   2002.10.04.  23:59  2000.34.4.0        28 944  Dbmssocn.dll     
   2002.09.06.  23:55  2000.33.6.0        53 520  Distrib.exe      
   2002.09.06.  23:55  2000.33.6.0        98 576  Logread.exe      
   2003.05.05.  18:34                     54 904  Opends60.dbg
   2003.05.05.  18:34  2000.41.2.0       155 920  Opends60.dll     
   2003.05.05.  18:34                    132 096  Opends60.pdb
   2002.09.06.  23:56  2000.33.6.0       250 128  Rdistcom.dll     
   2002.09.06.  23:55  2000.33.6.0        82 192  Replmerg.exe     
   2002.09.06.  23:56  2000.33.6.0        78 096  Replres.dll      
   2002.09.17.  22:52                      7 941  Securityhotfix.sql
   2002.09.06.  23:56  2000.33.6.0       160 016  Snapshot.exe     
   2003.05.30.  04:21                     59 214  Sp4_serv_uni.sql
   2003.01.15.  01:33  2000.37.13.0      344 064  Sqlagent.exe     
   2002.09.06.  23:55  2000.33.6.0        45 056  Logread.exe      
   2003.05.16.  00:18  2000.41.14.0    2 629 632  Sqldmo.dll       
   2003.05.16.  13:29  2000.41.14.0       81 920  Sqlmap70.dll     
   2003.05.29.  23:11                  4 370 404  Sqlservr.dbg
   2003.05.30.  02:44  2000.41.28.0    5 062 928  Sqlservr.exe     
   2003.05.29.  23:11                  3 589 120  Sqlservr.pdb
   2002.10.04.  23:59  2000.34.4.0        45 328  Ssmsso70.dll     
   2003.05.16.  00:18  2000.41.14.0       24 848  Ssnmpn70.dll       
   2002.09.26.  20:30                     28 408  Ums.dbg
   2002.09.26.  20:27  2000.33.25.0       57 616  Ums.dll          
   2002.09.26.  20:29                     99 328  Ums.pdb
   2003.05.16.  13:31  2000.41.14.0      151 552  Xpweb70.dll

Ellenőrzés

A számítógépen futó SQL Server szolgáltatás verziójának megállapításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
321185 Az SQL Server alkalmazás verziójának és kiadásának megállapítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A biztonsági javítás telepítése után az alábbi SELECT utasítások egyikének futtatásakor a „7.00.1094” eredménynek kell megjelennie:
SELECT serverproperty('productversion') 
SELECT @@Version

Hivatkozások

A javításról a Microsoft alábbi webhelyén tájékozódhat:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Tulajdonságok

Cikk azonosítója: 821279 - Utolsó ellenőrzés: 2014. február 27. - Verziószám: 7.1
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Kulcsszavak: 
kbnosurvey kbarchive kbbug kbfix kbsqlserv700presp5fix atdownload KB821279
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com