[MS03-031] SQL Server 7.0 Service Pack 4 用のセキュリティ修正プログラム

文書翻訳 文書翻訳
文書番号: 821279 - 対象製品
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

概要

この「サポート技術情報」 (Microsoft Knowledge Base) には、SQL Server 7.0 Service Pack 4 (SP4) および Microsoft Data Engine 1.0 SP4 のセキュリティ更新プログラムのリリースに関する情報が記載されています。このセキュリティ更新プログラムを適用すると、マイクロソフト セキュリティ情報 MS02-061 の SQL Server 7.0 用のセキュリティ更新プログラムなど、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている以前のセキュリティ更新プログラムがすべて置き換えられます。
327068 [INF] SQL Server 7.0 Service Pack 4 のセキュリティ アップデート

注意事項

このパッケージには、Microsoft Data Access Components (MDAC) および SQL Server Analysis Services に付属のセキュリティ更新プログラムは含まれていません。

このセキュリティ更新プログラムでは、以下の脆弱性が解決されます。
  • 名前付きパイプのハイジャック
    SQL Server が起動すると、サーバーへの着信接続用に特定の名前付きパイプが作成され、リッスンが開始されます。名前付きパイプは、特定の名前が付けられた一方向または双方向のチャネルで、パイプ サーバーと 1 つ以上のパイプ クライアントとの間の通信に使用されます。SQL Server は名前付きパイプをチェックし、SQL Server を実行するシステムにログオンしてサーバー上に保存されたデータのクエリを実行できる接続を確認します。

    名前付きパイプのチェック方法に存在する問題により、SQL Server を実行するシステムに対して、別のクライアントが認証済みログオン パスワードを使用してログオンしたときに、SQL Server にローカル ログオンしている攻撃者が名前付きパイプをハイジャックする (名前付きパイプの制御を取得する) 可能性があります。これにより、攻撃者は、接続を試行しているユーザーと同じアクセス許可レベルで名前付きパイプの制御を取得することができます。リモートから接続を試行しているユーザーが、攻撃者のアクセス許可よりも高いレベルのアクセス許可を持っている場合、名前付きパイプが侵害されると、攻撃者はその高いレベルのアクセス許可を取得することになります。
  • 名前付きパイプのサービス拒否
    前述の「名前付きパイプのハイジャック」と同じ状態にある名前付きパイプで、イントラネットからアクセスできる認証されていないユーザーが、SQL Server を実行するシステムでリッスンが行われている特定の名前付きパイプに対して非常に大きなパケットを送信して、SQL Server の応答を停止させる可能性があります。

    この脆弱性によって、攻撃者が任意のコードを実行したり、アクセス権を昇格させたりすることはできません。ただし、サービス拒否の状態が発生した場合、サーバーの機能を回復するためにサーバーの再起動が必要になることがあります。
  • SQL Server のバッファ オーバーラン
    Windows の特定の機能に存在する問題により、SQL Server を実行するシステムに直接ログオンできる権限を持つ認証されたユーザーが、特殊なパケットを作成する可能性があります。そのパケットがシステムのリッスン中のローカル プロシージャ コール (LPC) ポートに送信されると、バッファ オーバーランが発生する可能性があります。この脆弱性が悪用されると、アクセス権が制限されているユーザーが、SQL Server サービス アカウントのアクセス権レベルまで自分自身のアクセス権を昇格したり、任意のコードを実行したりする可能性があります。

詳細

注意事項

SQL Server 7.0 SP4 を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合は、以下の注意事項に目を通してください。

名前付きパイプを使用して Microsoft Windows NT 4.0 ベースのコンピュータに接続するとエラー メッセージが表示される

SQL Server 7.0 を実行する Windows NT 4.0 ベースのコンピュータに名前付きパイプを使用して接続するとき、管理者以外のユーザーが接続を行うと、以下のいずれかのようなエラー メッセージが表示されることがあります。
メッセージ 1
接続できません。SQL Server が存在しません。
メッセージ 2
接続できません。アクセスが拒否されました。
このエラー メッセージを解決する修正プログラムを入手するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
823492 SQL Server 2000 または SQL Server 7.0 を実行中の Windows NT 4.0 ベース コンピュータに接続する際のエラー メッセージ "接続できません"

必要条件

このセキュリティ更新プログラムを適用するには、SQL Server 7.0 SP4 が必要です。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
301511 [INF] 最新の SQL Server 7.0 Service Pack の入手方法
クラスタ化された SQL Server 7.0 のインストールでは、まず、各仮想 SQL Server のプライマリ クラスタ ノードから SQL Server フェールオーバー セットアップ ウィザードを実行して、SQL Server のクラスタ化を解除する必要があります。
アクティブ/アクティブ
アクティブ/アクティブ インストールの場合、以下の手順を実行します。
  1. SQL Server 7.0 が最初にインストールされていたコンピュータ ノードで、両方の SQL Server のリソース グループが管理されていることを確認します。
  2. クラスタの各ノードで、フェールオーバー セットアップ ウィザードを実行して、仮想 SQL Server を削除します。
  3. SQL Server のクラスタ化を解除した後、両方のノードで修正プログラム実行可能ファイルを実行し、修正プログラムのインストールを正常に完了する必要があります。その後、SQL Server を再びクラスタ化できます。
アクティブ/パッシブ
アクティブ/パッシブ インストールの場合、以下の手順を実行します。
  1. SQL Server 7.0 が最初にインストールされていたコンピュータ ノードで、SQL Server のリソースが管理されていることを確認します。
  2. この同じコンピュータ ノードで、フェールオーバー セットアップ ウィザードを実行して、仮想 SQL Server を削除します。
  3. SQL Server のクラスタ化を解除した後、プライマリ ノードのみで修正プログラム実行可能ファイルを実行し、修正プログラムのインストールを正常に完了する必要があります。その後、SQL Server を再びクラスタ化できます。

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する
ダウンロード
SQL Server 7.0 セキュリティ更新プログラム MS03-031
リリース日 : 2003 年 7 月 23 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

インストール情報

このセキュリティ更新プログラムでは、以下のセットアップ スイッチを使用できます。
元に戻す全体を表示する
スイッチ 説明
/s 解凍中のファイルを示すダイアログ ボックスを無効にします。/a スイッチの前に指定する必要があります。
/a 自己解凍型 EXE を使用して修正プログラムを実行するときに、無人インストール用のパラメータを含める場合、/s を除くすべてのパラメータの前に指定する必要があります。インストーラを無人モードで実行する際には、このパラメータが必要です。
/q このスイッチを指定すると、セットアップ プログラムはサイレント モードで実行され、ユーザー インターフェイスが表示されません。
BLANKSAPWD このパラメータは、SQL 認証の sa パスワードが空白であることを示します。Windows NT または Windows 2000 を実行するコンピュータでこのパラメータを入力した場合、デフォルトの Windows 認証ログオンは使用されず、空白の sa パスワードを使用してログオンが試行されます。このパラメータの正しい形式は、BLANKSAPWD=1 です。このパラメータは、無人インストールでのみ認識されます。
SAPWD 空白以外の sa パスワードを使用します。このパラメータは、SAPWD=yoursapassword の形式で入力する必要があります。このパラメータを入力した場合、Windows NT または Windows 2000 を実行するコンピュータでは、このパラメータがデフォルトの Windows 認証または BLANKSAPWD よりも優先されます。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
330391 SQL Server の修正プログラム インストーラ

再起動の必要性

修正プログラム インストーラから再起動の指示がない限り、このセキュリティ更新プログラムの適用後にコンピュータを再起動する必要はありません。

アンインストール情報

このセキュリティ更新プログラムのインストール前に一部のカタログをバックアップした場合を除いて、この更新プログラムのアンインストールはサポートされません。詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) の「修正プログラムの削除またはロールバック」を参照してください。
330391 SQL Server の修正プログラム インストーラ

セキュリティ更新プログラムの置き換えに関する情報

このセキュリティ更新プログラムを適用すると、マイクロソフト セキュリティ情報 MS02-061 の SQL Server 7.0 用のセキュリティ更新プログラムなど、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている以前のセキュリティ更新プログラムがすべて置き換えられます。
327068 [INF] SQL Server 7.0 Service Pack 4 のセキュリティ アップデート

ファイル情報

   日付           時刻    バージョン        サイズ      ファイル名
   ------------------------------------------------------------------
   2002/10/04  16:59  2000.34.4.0       28,944  DBmsSOCn.dll    
   2002/09/06  16:55  2000.33.6.0       53,520  distrib.EXE     
   2002/09/06  16:55  2000.33.6.0       98,576  logread.exe     
   2003/05/05  11:34                    54,904  opends60.DBG    
   2003/05/05  15:07  2000.41.2.0      155,920  opends60.dll    
   2003/05/05  11:34                   132,096  opends60.pdb    
   2002/09/06  16:56  2000.33.6.0      250,128  rdistcom.DLL    
   2002/09/06  16:55  2000.33.6.0       82,192  replmerg.EXE    
   2002/09/06  21:47  2000.33.6.0       78,096  replres.DLL     
   2002/09/17  15:52                     7,941  securityhotfix.sql  
   2002/09/06  16:56  2000.33.6.0      160,016  snapshot.EXE    
   2003/05/29  21:22                    60,380  sp4_serv_uni.sql
   2003/01/22  22:03  2000.37.13.0     344,064  sqlagent.exe    
   2002/09/06  21:47  2000.33.6.0       45,056  sqlcmdss.DLL    
   2003/05/15  17:18  2000.41.14.0   2,629,632  SQLDMO.dll      
   2003/05/16  06:30  2000.41.14.0      81,920  sqlmap70.DLL    
   2003/05/29  16:11                 4,370,404  SQLSERVR.dbg    
   2003/05/29  19:47  2000.41.28.0   5,062,928  SQLSERVR.EXE    
   2003/05/29  16:11                 3,589,120  SQLSERVR.pdb    
   2002/10/04  16:59  2000.34.4.0       45,328  SSmsSO70.dll    
   2003/05/15  17:18  2000.41.14.0      24,848  ssnmpn70.dll    
   2002/09/26  13:30                    28,408  ums.DBG         
   2002/09/26  13:27  2000.33.25.0      57,616  ums.dll         
   2002/09/26  13:29                    99,328  ums.pdb         
   2003/05/16  06:32  2000.41.14.0     151,552  XPWEB70.DLL     

動作の検証

実行中の SQL Server のバージョンを確認するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) の情報を使用します。
321185 SQL Server のバージョンとエディションを識別する方法
このセキュリティ更新プログラムを適用した後、次のいずれかの SELECT ステートメントを実行すると、"7.00.1094" が返されます。
SELECT serverproperty('productversion') 
SELECT @@Version

関連情報

このセキュリティ更新プログラムの詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/Bulletin/MS03-031.mspx

プロパティ

文書番号: 821279 - 最終更新日: 2014年2月27日 - リビジョン: 7.1
この資料は以下の製品について記述したものです。
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
キーワード:?
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com