MS03-031: Patch di protezione per SQL Server 7.0 Service Pack 4

Traduzione articoli Traduzione articoli
Identificativo articolo: 821279 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Questo articolo della Microsoft Knowledge Base contiene informazioni sulla versione della patch di protezione di SQL Server 7.0 Service Pack 4 (SP4) e di Microsoft Data Engine 1.0 SP4. Questa patch di protezione sostituisce tutte le precedenti patch documentate nell'articolo della Microsoft Knowledge Base riportato di seguito, inclusa la patch di protezione per il Bollettino Microsoft sulla sicurezza MS02-061 per SQL Server 7.0:
327068 INF: Aggiornamento per la protezione di SQL Server 7.0 per il Service Pack 4

Note importanti

Questo pacchetto cumulativo non contiene le correzioni di protezione disponibili in Microsoft Data Access Components (MDAC) e Analysis Services di SQL Server.

Questa patch di protezione consente di risolvere le seguenti vulnerabilitÓ:
  • Acquisizione del controllo della named pipe
    All'avvio di SQL Server viene creata una specifica named pipe analizzata in seguito dal programma per rilevare le connessioni in ingresso sul server. La named pipe Ŕ un canale unidirezionale o bidirezionale con un nome specifico per la comunicazione tra un server pipe e uno o pi¨ client pipe. Tale named pipe viene verificata per stabilire con quali connessioni Ŕ possibile effettuare l'accesso al sistema su cui viene eseguito SQL Server ed eseguire query sui dati memorizzati sul server.

    ╚ tuttavia presente un difetto nel metodo di controllo della named pipe che potrebbe consentire a un utente malintenzionato interno al sistema su cui viene eseguito SQL Server di acquisire il controllo della named pipe nel momento in cui viene effettuato l'accesso con password di autenticazione da un altro client. In questo modo l'utente malintenzionato potrebbe acquisire il controllo della named pipe con lo stesso livello di autorizzazioni dell'utente che tenta di effettuare la connessione. Se l'utente che tenta di effettuare la connessione remota dispone di autorizzazioni di livello superiore rispetto a quelle dell'utente malintenzionato, quest'ultimo acquisirÓ tali diritti nel momento in cui la named pipe viene compromessa.
  • Attacco di tipo Denial of Service alla named pipe
    Nello stesso scenario di named pipe illustrato precedentemente nella sezione "Acquisizione del controllo della named pipe", un utente non autenticato della rete Intranet locale potrebbe riuscire a inviare un pacchetto di grandi dimensioni a una determinata named pipe analizzata dal computer su cui Ŕ in esecuzione SQL Server, causandone il blocco.

    Questa vulnerabilitÓ non dovrebbe consentire a un utente malintenzionato di eseguire codice arbitrario o di elevare le autorizzazioni, ma potrebbe ancora essere possibile il verificarsi di una condizione di tipo denial of service che richiederebbe il riavvio del server per il ripristino della funzionalitÓ.
  • Sovraccarico del buffer di SQL Server
    In una specifica funzione di Windows Ŕ presente un difetto che potrebbe consentire a un utente autenticato con accesso diretto al sistema su cui viene eseguito SQL Server di creare un pacchetto appositamente formulato che pu˛ causare un sovraccarico del buffer nel momento in cui viene inviato alla porta LPC (Local Procedure Call) di attesa del sistema. Se sfruttata, questa vulnerabilitÓ pu˛ permettere a un utente con autorizzazioni limitate nel sistema di elevare il livello delle proprie autorizzazioni a quello dell'account dei servizi di SQL Server oppure pu˛ causare l'esecuzione di codice arbitrario.

Informazioni

Note importanti

Leggere queste importanti note sull'installazione della patch di protezione in un computer che esegue SQL Server 7.0 Service Pack 4 (SP4).

Visualizzazione di un messaggio di errore quando si effettua la connessione a un computer basato su Microsoft Windows NT 4.0 utilizzando named pipe

Quando si effettua la connessione a un computer basato su Windows NT 4.0 che esegue Microsoft SQL Server 7.0 utilizzando named pipe e la connessione viene effettuata da un utente non amministratore, Ŕ possibile che venga visualizzato un messaggio di errore analogo a uno di quelli riportati di seguito:
Messaggio 1
Impossibile stabilire la connessione. Server SQL inesistente.
Messaggio 2
Impossibile stabilire la connessione. Accesso negato.
Per ottenere un hotfix per risolvere il problema relativo a questo messaggio di errore, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823492 Messaggio di errore "Connection Could Not Be Established" quando si stabilisce la connessione a un computer basato su Windows NT 4.0 che esegue SQL Server 2000 o SQL Server 7.0

Prerequisiti

Questa patch di protezione richiede SQL Server 7.0 SP4.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
301511 Come ottenere il service pack pi¨ recente per SQL Server 7.0
Per le installazioni cluster di SQL Server 7.0 Ŕ innanzitutto necessario separare i cluster di SQL Server eseguendo la procedura guidata di failover di SQL Server dal nodo di cluster primario di ciascun server SQL virtuale.
Attivo/Attivo
Attenersi alla seguente procedura per un'installazione Attivo/Attivo:
  1. Assicurarsi che il nodo del computer in cui Ŕ stato originariamente installato SQL Server 7.0 controlli entrambi i gruppi di risorse di SQL Server.
  2. In ciascun nodo del cluster eseguire la procedura guidata di failover per rimuovere il server SQL virtuale.
  3. Dopo avere separato i cluster di SQL Server, Ŕ necessario avviare il file eseguibile dell'hotfix in entrambi i nodi e completare l'installazione dell'hotfix prima di ricompattare i cluster di SQL Server.
Attivo/Passivo
Attenersi alla seguente procedura per un'installazione Attivo/Passivo:
  1. Assicurarsi che il nodo del computer in cui Ŕ stato originariamente installato SQL Server 7.0 controlli le risorse di SQL Server.
  2. In questo stesso nodo del computer eseguire la procedura guidata di failover per rimuovere il server SQL virtuale.
  3. Dopo avere separato i cluster di SQL Server, Ŕ necessario avviare il file eseguibile dell'hotfix solo in corrispondenza del nodo primario e completare l'installazione dell'hotfix prima di ricompattare i cluster di SQL Server.

Informazioni sul download

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:
Download della patch di protezione per SQL Server 7.0 MS03-031. (informazioni in lingua inglese)
Data di rilascio: 23 luglio 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Informazioni sull'installazione

Questa patch di protezione supporta i seguenti parametri di installazione.
Riduci questa tabellaEspandi questa tabella
ParametroDescrizione
/sConsente di disattivare la finestra di dialogo dell'estrazione automatica. Deve essere specificato prima del parametro /a.
/aQuesto parametro deve essere specificato prima di tutti gli altri parametri a eccezione di /s se l'hotfix viene eseguito utilizzando il file EXE autoestraente e si desidera includere i parametri per l'installazione automatica. Si tratta di un parametro obbligatorio per l'installazione automatica.
/qCon questo parametro il programma di installazione verrÓ eseguito in modalitÓ non interattiva senza interfaccia utente.
BLANKSAPWDQuesto parametro indica che la password sa per l'autenticazione SQL Ŕ vuota. Se viene immesso questo parametro su un computer con Microsoft Windows NT o Microsoft Windows 2000, l'accesso predefinito con l'autenticazione di Windows verrÓ ignorato e verrÓ tentato l'accesso con una password sa vuota. Il formato corretto del parametro Ŕ BLANKSAPWD=1. Questo parametro viene riconosciuto solo per le installazioni automatiche.
SAPWDPassword sa non vuota. Questo parametro deve essere specificato nel formato SAPWD=passwordsa. Il parametro consente di ignorare l'autenticazione predefinita di Windows in computer con Windows NT o Windows 2000 oppure se viene specificato BLANKSAPWD.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
330391 Programma di installazione dell'hotfix di SQL Server

Richiesta di riavvio

Se non viene richiesto, non Ŕ necessario riavviare il computer dopo l'installazione della patch di protezione.

Informazioni sulla rimozione

La rimozione della patch di protezione non Ŕ supportata se non Ŕ stato eseguito il backup di determinati cataloghi prima di installare la patch di protezione. Per ulteriori informazioni, vedere la sezione relativa alla rimozione o al ripristino dello stato precedente dell'hotfix nel seguente articolo della Microsoft Knowledge Base:
330391 Programma di installazione dell'hotfix di SQL Server

Informazioni sulla sostituzione della patch di protezione

Questa patch di protezione sostituisce tutte le precedenti patch documentate nell'articolo della Microsoft Knowledge Base riportato di seguito, inclusa la patch di protezione per il Bollettino Microsoft sulla sicurezza MS02-061 per SQL Server 7.0:
327068 INF: Aggiornamento per la protezione di SQL Server 7.0 per il Service Pack 4

Informazioni sui file

La versione in lingua inglese di questo pacchetto presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data        Ora    Versione        Dimensioni      Nome file
   ---------------------------------------------------------------------
   04/10/2002  23.59  2000.34.4.0        28.944 byte  Dbmssocn.dll
   06/09/2002  23.55  2000.33.6.0        53.520 byte  Distrib.exe
   06/09/2002  23.55  2000.33.6.0        98.576 byte  Logread.exe
   05/05/2003  18.34                     54.904 byte  Opends60.dbg
   05/05/2003  18.34  2000.41.2.0       155.920 byte  Opends60.dll
   05/05/2003  18.34                    132.096 byte  Opends60.pdb
   06/09/2002  23.56  2000.33.6.0       250.128 byte  Rdistcom.dll
   06/09/2002  23.55  2000.33.6.0        82.192 byte  Replmerg.exe
   06/09/2002  23.56  2000.33.6.0        78.096 byte  Replres.dll
   17/09/2002  22.52                      7.941 byte  Securityhotfix.sql
   06/09/2002  23.56  2000.33.6.0       160.016 byte  Snapshot.exe
   30/05/2003  04.21                     59.214 byte  Sp4_serv_uni.sql
   15/01/2003  01.33  2000.37.13.0      344.064 byte  Sqlagent.exe
   06/09/2002  23.55  2000.33.6.0        45.056 byte  Sqlcmdss.dll
   16/05/2003  00.18  2000.41.14.0    2.629.632 byte  Sqldmo.dll
   16/05/2003  13.29  2000.41.14.0       81.920 byte  Sqlmap70.dll
   29/05/2003  23.11                  4.370.404 byte  Sqlservr.dbg
   30/05/2003  02.44  2000.41.28.0    5.062.928 byte  Sqlservr.exe
   29/05/2003  23.11                  3.589.120 byte  Sqlservr.pdb
   04/10/2002  23.59  2000.34.4.0        45.328 byte  Ssmsso70.dll
   16/05/2003  00.18  2000.41.14.0       24.848 byte  Ssnmpn70.dll
   26/09/2002  20.30                     28.408 byte  Ums.dbg
   26/09/2002  20.27  2000.33.25.0       57.616 byte  Ums.dll
   26/09/2002  20.29                     99.328 byte  Ums.pdb
   16/05/2003  13.31  2000.41.14.0      151.552 byte  Xpweb70.dll

Verifica

Per determinare la versione di SQL Server, attenersi alle informazioni presenti nel seguente articolo della Microsoft Knowledge Base:
321185 Identificazione della versione e dell'edizione di SQL Server
Dopo l'installazione di questa patch di protezione, "7.00.1094" deve essere il risultato restituito quando si esegue una delle seguenti istruzioni SELECT:
SELECT serverproperty('productversion') 
SELECT @@Version

Riferimenti

Per ulteriori informazioni sulla patch di protezione, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/italy/technet/security/bulletin/MS03-031.mspx

ProprietÓ

Identificativo articolo: 821279 - Ultima modifica: giovedý 27 febbraio 2014 - Revisione: 7.1
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Chiavi:á
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com