MS03-031: Beveiligingspatch voor SQL Server 7.0 Service Pack 4

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 821279 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is gearchiveerd. Het wordt aangeboden in de huidige vorm en wordt niet meer bijgewerkt.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Dit Microsoft Knowledge Base-artikel bevat informatie over de release van een SQL Server 7.0 Service Pack 4 (SP4) en Microsoft Data Engine 1.0 SP4-beveiligingspatch. Deze beveiligingspatch vervangt alle voorgaande beveiligingspatches die worden beschreven in het volgende Microsoft Knowledge Base-artikel, inclusief de beveiligingspatch voor Microsoft Security Bulletin MS02-061 voor SQL Server 7.0:
327068SQL Server 7.0-beveiligingsupdate voor Service Pack 4

Belangrijke opmerkingen

Dit pakket bevat geen beveiligingsoplossingen van Microsoft Data Access Components (MDAC) en SQL Server Analysis Services.

Deze beveiligingspatch lost de volgende beveiligingsproblemen op:
  • Overname van named pipes
    SQL Server maakt tijdens het starten een specifieke named pipe en luistert vervolgens op deze named pipe naar inkomende verbindingen met de server. Een named pipe is een specifiek benoemd eenrichtings- of tweerichtingskanaal voor communicatie tussen een pipe-server en een of meer pipe-clients. SQL Server controleert de named pipe om na te gaan welke verbindingen zich kunnen aanmelden bij het systeem waarop SQL Server wordt uitgevoerd, voor het uitvoeren van query's op gegevens die zich op de server bevinden.

    Door een lek in de controlemethode voor de named pipe kan een hacker die lokaal werkt op het systeem met SQL Server, de named pipe overnemen wanneer een andere client een geverifieerd aanmeldingswachtwoord gebruikt om zich aan te melden. Daardoor kan de hacker controle krijgen over de named pipe op hetzelfde machtigingsniveau als de gebruiker die probeert verbinding te maken. Als de gebruiker die extern verbinding probeert te maken, een hoger machtigingsniveau heeft dan de hacker, krijgt de hacker de rechten van die gebruiker wanneer de named pipe wordt gekraakt.
  • DoS (Denial of Service) door named pipes
    In hetzelfde scenario dat wordt vermeld onder 'Overname van named pipes' van dit bulletin, kan een niet-geverifieerde gebruiker die lokaal op het intranet werkt, een uitermate groot pakket sturen naar een specifieke named pipe waarop de computer met SQL Server luistert. Dat kan ertoe leiden dat het systeem niet meer reageert.

    Dit beveiligingsprobleem geeft een aanvaller niet de mogelijkheid willekeurige code uit te voeren of zijn machtigingen uit te breiden. Er kan wel een DoS-situatie ontstaan waardoor de server opnieuw moet worden gestart om de functionaliteit te herstellen.
  • Bufferoverloop in SQL Server
    Door een lek in een specifieke Windows-functie is een niet-geverifieerde gebruiker die zich rechtstreeks kan aanmelden bij het systeem waarop SQL Server wordt uitgevoerd, in staat een speciaal samengesteld pakket te maken dat een bufferoverloop kan veroorzaken wanneer het pakket naar de LPC-poort (Local Procedure Call) wordt gestuurd. Daardoor kan een gebruiker met een beperkt machtigingsniveau voor het systeem zijn of haar niveau verhogen tot dat van de SQL Server-serviceaccount, of willekeurige programmacode laten uitvoeren.

Meer informatie

Belangrijke opmerkingen

Lees de volgende belangrijke opmerkingen over de installatie van deze beveiligingspatch op een computer waarop SQL Server 7.0 SP4 wordt uitgevoerd.

Er wordt een foutbericht weergegeven wanneer u met behulp van named pipes verbinding maakt met een Microsoft Windows NT 4.0-computer

Wanneer u met behulp van named pipes verbinding maakt met een Windows NT 4.0-computer waarop SQL Server 7.0 wordt uitgevoerd, en die verbinding wordt gemaakt door een andere gebruiker dan de beheerder, kan een van de volgende foutberichten worden weergegeven:
Bericht 1
Kan geen verbinding maken. SQL Server bestaat niet
Bericht 2
Kan geen verbinding maken. Toegang geweigerd.
Voor informatie over het ophalen van een hotfix om dit foutbericht op te lossen klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
823492Foutbericht 'Kan geen verbinding maken' als u verbinding probeert te maken met een computer met Windows NT 4.0 waarop SQL Server 2000 of SQL Server 7.0 wordt uitgevoerd

Voorwaarden

Deze beveiligingspatch vereist SQL Server 7.0 SP4.

Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
301511Het meest recente servicepack voor SQL Server 7.0 ophalen
Als u een clusterinstallatie van SQL Server 7.0 wilt uitvoeren, verwijdert u SQL Server eerst uit de cluster door de wizard SQL Server Failover uit te voeren vanuit het knooppunt van de primaire cluster van elke virtuele SQL-server.
Active/Active
Ga als volgt te werk om een Active/Active-installatie uit te voeren:
  1. Zorg dat beide SQL Server-brongroepen zich bevinden in het computerknooppunt waarin SQL Server 7.0 oorspronkelijk is geïnstalleerd.
  2. Voer de wizard Failover Setup in elk knooppunt van de cluster uit om die virtuele SQL-server te verwijderen.
  3. Nadat u SQL Server uit de cluster hebt verwijderd, past u de uitvoerbare bestanden uit de hotfix toe op beide knooppunten en voltooit u de hotfixinstallatie voordat u SQL Server weer in de cluster opneemt.
Active/Passive
Ga als volgt te werk om een Active/Passive-installatie uit te voeren:
  1. Zorg dat de SQL Server-bronnen zich in het computerknooppunt bevinden waarin SQL Server 7.0 oorspronkelijk is geïnstalleerd.
  2. Voer de wizard Failover Setup uit in ditzelfde knooppunt om die virtuele SQL-server te verwijderen.
  3. Nadat u SQL Server uit de cluster hebt verwijderd, past u de uitvoerbare bestanden uit de hotfix alleen op het primaire knooppunt toe en voltooit u de hotfixinstallatie voordat u SQL Server weer in de cluster opneemt.

Downloadgegevens

U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:
Deze afbeelding samenvouwenDeze afbeelding uitklappen
Downloaden
De beveiligingspatch MS03-031 voor SQL Server 7.0 nu downloaden.
Releasedatum: 23-juli-2003

Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
119591Microsoft-ondersteuningsbestanden via online services downloaden
Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is opgeslagen op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen voorkomen.

Installatiegegevens

Deze beveiligingspatch kan worden geïnstalleerd met de volgende Setup-schakelopties.
Deze tabel samenvouwenDeze tabel uitklappen
ParameterBeschrijving
/sHiermee schakelt u voortgangsvenster voor zelf-extractie uit. Moet vóór de schakeloptie /a staan.
/aDeze parameter moet vóór alle andere parameters staan, behalve vóór /s als u de hotfix uitvoert met de zelf-uitpakkende EXE, en u parameters wilt opnemen voor installaties zonder toezicht. Deze parameter is vereist wanneer de installatie zonder toezicht moet worden uitgevoerd.
/qDeze schakeloptie zorgt ervoor dat het installatieprogramma wordt uitgevoerd in de stille modus zonder gebruikersinterface.
BLANKSAPWD Deze parameter betekent dat het sa-wachtwoord voor SQL-verificatie blanco is. Als u deze parameter invoert op computers waarop Windows NT of Windows 2000 wordt uitgevoerd, wordt de standaard Windows-verificatieaanmelding overschreven en wordt geprobeerd een aanmelding te krijgen met een blanco sa-wachtwoord. De juiste syntaxis voor deze parameter is BLANKSAPWD=1. Deze parameter is uitsluitend geldig voor installaties zonder toezicht.
SAPWDNiet-blanco sa-wachtwoord. Als u deze parameter invoert, moet deze de syntaxis SAPWD=uwwachtwoord hebben. Deze parameter overschrijft de standaard Windows-verificatie op computers waarop Windows NT of Windows 2000 wordt uitgevoerd, of?indien ingevoerd?de parameter BLANKSAPWD.
Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
330391Installatieprogramma van hotfix voor SQL Server

Computer opnieuw opstarten

U hoeft de computer niet opnieuw te starten nadat u deze beveiligingspatch hebt toegepast, tenzij dit tijdens de installatie van de hotfix wordt gevraagd.

Informatie over verwijderen

Het verwijderen van deze beveiligingspatch wordt niet ondersteund, tenzij vóór de installatie van deze patch van bepaalde catalogi reservekopieën zijn gemaakt. Zie de sectie 'How to Remove or Rollback the Hotfix' in het volgende Microsoft Knowledge Base-artikel voor meer informatie:
330391Installatieprogramma van hotfix voor SQL Server

Informatie over de vervanging van beveiligingspatches

Deze beveiligingspatch vervangt alle voorgaande beveiligingspatches die worden beschreven in het volgende Microsoft Knowledge Base-artikel, inclusief de beveiligingspatch voor Microsoft Security Bulletin MS02-061 voor SQL Server 7.0:
327068SQL Server 7.0-beveiligingsupdate voor Service Pack 4

Bestandsgegevens

De Engelse versie van dit pakket heeft de bestandskenmerken die in de volgende tabel worden weergegeven (of recentere bestandskenmerken). De datums en tijden voor deze bestanden worden weergegeven in UTC-notatie (Coordinated Universal Time). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Als u het verschil tussen UTC en lokale tijd wilt bepalen, gebruikt u het tabblad Tijdzone van de optie Datum en tijd in het Configuratiescherm.
   Datum        Tijd   Versie         Grootte           Bestandsnaam
   -----------------------------------------------------------------------
   04-okt-2002  23:59  2000.34.4.0        28,944 bytes  Dbmssocn.dll     
   06-sep-2002  23:55  2000.33.6.0        53,520 bytes  Distrib.exe      
   06-sep-2002  23:55  2000.33.6.0        98,576 bytes  Logread.exe      
   05-mei-2003  18:34                     54,904 bytes  Opends60.dbg
   05-mei-2003  18:34  2000.41.2.0       155,920 bytes  Opends60.dll     
   05-mei-2003  18:34                    132,096 bytes  Opends60.pdb
   06-sep-2002  23:56  2000.33.6.0       250,128 bytes  Rdistcom.dll     
   06-sep-2002  23:55  2000.33.6.0        82,192 bytes  Replmerg.exe     
   06-sep-2002  23:56  2000.33.6.0        78,096 bytes  Replres.dll      
   17-sep-2002  22:52                      7,941 bytes  Securityhotfix.sql
   06-sep-2002  23:56  2000.33.6.0       160,016 bytes  Snapshot.exe     
   30-mei-2003  04:21                     59,214 bytes  Sp4_serv_uni.sql
   15-jan-2003  01:33  2000.37.13.0      344,064 bytes  Sqlagent.exe     
   06-sep-2002  23:55  2000.33.6.0        45,056 bytes  Sqlcmdss.dll     
   16-mei-2003  00:18  2000.41.14.0    2,629,632 bytes  Sqldmo.dll       
   16-mei-2003  13:29  2000.41.14.0       81,920 bytes  Sqlmap70.dll     
   29-mei-2003  23:11                  4,370,404 bytes  Sqlservr.dbg
   30-mei-2003  02:44  2000.41.28.0    5,062,928 bytes  Sqlservr.exe     
   29.05.03  23:11:00                 3,589,120 bytes  Sqlservr.pdb
   04-okt-2002  23:59  2000.34.4.0        45,328 bytes  Ssmsso70.dll     
   16-mei-2003  00:18  2000.41.14.0       24,848 bytes  Ssnmpn70.dll     
   26-sep-2002  20:30                     28,408 bytes  Ums.dbg
   26-sep-2002  20:27  2000.33.25.0       57,616 bytes  Ums.dll          
   26-sep-2002  20:29                     99,328 bytes  Ums.pdb
   16-mei-2003  13:31  2000.41.14.0      151,552 bytes  Xpweb70.dll

Controle

Aan de hand van het volgende Microsoft Knowledge Base-artikel kunt u nagaan welke SQL Server-versie u uitvoert:
321185De versie en editie van SQL Server bepalen
Nadat u deze beveiligingspatch hebt toegepast, wordt als het goed is "7.00.1094" geretourneerd wanneer u een van de volgende SELECT-instructies uitvoert:
SELECT serverproperty('productversion') 
SELECT @@Version

Referenties

Als u meer informatie wilt over deze beveiligingspatch, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Eigenschappen

Artikel ID: 821279 - Laatste beoordeling: donderdag 27 februari 2014 - Wijziging: 7.1
De informatie in dit artikel is van toepassing op:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Trefwoorden: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com