MS03-031: Sikkerhetsoppdatering for SQL Server 7,0 Service Pack 4

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 821279 - Vis produkter som denne artikkelen gjelder for.
Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.
Vis alt | Skjul alt

På denne siden

Sammendrag

Denne Microsoft Knowledge Base-artikkelen inneholder informasjon om utgivelsen av en SQL Server 7.0 Service Pack 4 (SP4) og sikkerhetsoppdateringen for Microsoft Data Engine 1.0 SP4. Denne sikkerhetsoppdateringen erstatter alle tidligere sikkerhetsoppdateringer som er dokumentert i følgende Microsoft Knowledge Base-artikkel, inkludert sikkerhetsoppdateringen for Microsofts sikkerhetsbulletin MS02-061 for SQL Server 7.0:
327068 SQL Server 7.0-sikkerhetsoppdatering for Service Pack 4 (denne artikkelen kan være på engelsk)

Viktige merknader

Denne pakken inneholder ikke sikkerhetsreparasjonene i Microsoft Data Access Components (MDAC) og SQL Server Analysis Services.

Denne sikkerhetsoppdateringen løser følgende sikkerhetsproblemer:
  • Kontroll over navngitt datakanal
    Når SQL-serveren starter, oppretter den en bestemt navngitt datakanal som den deretter lytter etter innkommende tilkoblinger til serveren på. En navngitt datakanal er en én-veis eller to-veis bestemt navngitt datakanal for kommunikasjon mellom en datakanalserver og én eller flere datakanalklienter. SQL-serveren kontrollerer den navngitte datakanalen for å verifisere hvilke tilkoblinger som kan logge seg på systemet som kjører SQL-server, slik at det kan kjøres spørringer mot data som er lagret på serveren.

    Det er en feil i kontrollmetoden for den navngitte datakanalen som kan føre til at en angriper som er lokalt på systemet som kjører SQL-server, kan få kontroll over den navngitte datakanalen når en annen klient bruker et godkjent påloggingspassord til å logge seg på. Dette gir angriperen kontroll over den navngitte datakanalen på samme tillatelsesnivå som brukeren som prøver å koble seg til. Hvis brukeren som prøver å koble seg til eksternt, har et høyere tillatelsesnivå enn angriperen, vil angriperen få de samme rettighetene når den navngitte datakanalen skades.
  • Tjenestenekt (denial of service) for navngitt datakanal
    I samme scenario for navngitte datakanaler som er nevnt i avsnittet Kontroll over navngitt datakanal i denne bulletinen, kan en ikke-godkjent bruker som er lokalt på intranettet, sende en svært stor pakke til en bestemt navngitt datakanal der datamaskinen som kjører SQL-server, lytter. Dette kan føre til at serveren ikke svarer.

    Dette sikkerhetsproblemet gir ikke en angriper tilgang til å kjøre en tilfeldig kode eller øke tilgangsnivåene, men tjenestenekt (denial of service) kan imidlertid fortsatt forekomme. Det betyr at du må starte serveren på nytt for å gjenopprette funksjonaliteten.
  • Bufferoverløp for SQL-server
    Det er en feil i en bestemt funksjon i Windows som kan føre til at en godkjent bruker som har direkte tilgang, kan logge seg på systemet som kjører SQL-server, og få mulighet til å opprette en spesiallaget pakke som kan føre til bufferoverløp når den sendes til lytteporten for lokalt prosedyrekall (LPC) på systemet. Hvis denne muligheten utnyttes, kan det gi en bruker med begrensede tillatelser på systemet mulighet til å øke tillatelsene til samme nivå som tjenestekontoen for SQL-serveren, eller føre til at en tilfeldig kode kjøres.

Mer informasjon

Viktige merknader

Les gjennom disse viktige merknadene angående installasjon av denne sikkerhetsoppdateringen på en datamaskin som kjører SQL Server 7.0 SP4.

Det vises en feilmelding når du kobler til en Microsoft Windows NT 4.0-basert datamaskin ved hjelp av navngitte datakanaler

Når du kobler til en Windows NT 4.0-basert datamaskin som kjører SQL Server 7.0, ved hjelp av navngitte datakanaler, og den tilkoblingen gjøres av en bruker som ikke er administrator, kan du få en feilmelding som ligner på en av disse:
Melding 1
Kan ikke koble til. SQL-serveren finnes ikke.
Melding 2
Kan ikke koble til. Ingen tilgang.
Hvis du vil ha en hurtigreparasjon for å løse feilmeldingen, kan du se følgende artikkel i Microsoft Knowledge Base:
823492 Du får feilmeldingen "Kan ikke koble til" når du bruker navngitte datakanaler til å koble til en Windows NT 4.0-basert datamaskin som kjører SQL Server 2000 eller SQL Server 7.0 (denne artikkelen kan være på engelsk)

Forutsetninger

Denne sikkerhetsoppdateringen krever SQL Server 7.0 SP4.

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
301511 Slik får du tak i den seneste oppdateringspakken for SQL Server 7.0 (denne artikkelen kan være på engelsk)
Ved klyngede SQL Server 7.0-installasjoner må du først dele opp SQL Server-klyngen ved å kjøre failover-veiviseren for SQL Server fra den primære klyngenoden for hver virtuelle SQL-server.
Aktiv/aktiv
Følg denne fremgangsmåten for å utføre en Aktiv/aktiv-installasjon:
  1. Kontroller at datamaskinnoden der SQL Server 7.0 opprinnelig ble installert, styrer begge ressursgruppene for SQL Server.
  2. På hver node for klyngen kjører du failover-installasjonsveiviseren for å fjerne den virtuelle SQL-serveren.
  3. Når du har delt opp SQL Server-klyngen, må du først kjøre den kjørbare hurtigreparasjonsfilen på begge nodene, og deretter fullføre installasjonen av hurtigreparasjonen før du klynger SQL Server på nytt.
Aktiv/passiv
Følg denne fremgangsmåten for å utføre en Aktiv/passiv-installasjon:
  1. Kontroller at datamaskinnoden der SQL Server 7.0 opprinnelig ble installert, styrer SQL Server-ressursene.
  2. På den samme datamaskinnoden kjører du failover-installasjonsveiviseren for å fjerne den virtuelle SQL-serveren.
  3. Når du har delt opp SQL Server-klyngen, må du først kjøre den kjørbare hurtigreparasjonsfilen bare på primærnoden, og deretter fullføre installasjonen av hurtigreparasjonen før du klynger SQL Server på nytt.

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center (dette området kan være på engelsk):
Skjul dette bildetVis dette bildet
Last ned
Last ned sikkerhetsoppdateringen MS03-031 for SQL Server 7.0 nå.
Utgivelsesdato: 23.07.03

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Installasjonsinformasjon

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
Skjul denne tabellenVis denne tabellen
KommandolinjebryterBeskrivelse
/sDeaktiverer forløpsdialogboksen for selvutpakking. Må komme foran /a-bryteren.
/aDenne parameteren må komme foran alle de andre parameterne unntatt /s hvis du kjører hurtigreparasjonen ved å bruke den selvutpakkende EXE-filen, og du vil inkludere parametere for uovervåkede installasjoner. Denne parameteren er nødvendig for at installasjonsprogrammet skal kjøres i uovervåket modus.
/qDenne bryteren forårsaker at installasjonsprogrammet kjøres i stille modus uten brukergrensesnitt.
BLANKSAPWD Denne parameteren betyr at sa-passordet for SQL-godkjenning er tomt. Hvis du skriver inn denne parameteren på datamaskiner som kjører Windows NT eller Windows 2000, overstyres standard pålogging for Windows-godkjenning, og pålogging forsøkes utført med et tomt sa-passord. Det riktige formatet for denne parameteren er BLANKSAPWD=1. Denne parameteren gjenkjennes bare for uovervåkede installasjoner.
SAPWDIkke tomt sa-passord. Hvis du skriver inn denne parameteren, må den ha formen SAPWD=ditt sa-passord. Denne parameteren overstyrer standard Windows-godkjenning på datamaskiner som kjører Windows NT eller Windows 2000, eller BLANKSAPWD, hvis den angis.
Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
330391 Installasjonsprogram for SQL Server-hurtigreparasjon (denne artikkelen kan være på engelsk)

Omstartskrav

Du trenger ikke starte datamaskinen på nytt når du har brukt denne oppdateringen, hvis du ikke blir bedt om det av installasjonsprogrammet for hurtigreparasjonen.

Informasjon om fjerning

Denne oppdateringen kan ikke fjernes hvis ikke bestemte kataloger ble sikkerhetskopiert før sikkerhetsoppdateringen ble installert. Hvis du vil ha mer informasjon, kan du se avsnittet How to Remove or Rollback the Hotfix (Slik fjerner eller tilbakefører du hurtigreparasjonen) i følgende Microsoft Knowledge Base-artikkel:
330391 Installasjonsprogram for SQL Server-hurtigreparasjon (denne artikkelen kan være på engelsk)

Informasjon om erstatning av sikkerhetsoppdatering

Denne sikkerhetsoppdateringen erstatter alle tidligere sikkerhetsoppdateringer som er dokumentert i følgende Microsoft Knowledge Base-artikkel, inkludert sikkerhetsoppdateringen for Microsofts sikkerhetsbulletin MS02-061 for SQL Server 7.0:
327068 SQL Server 7.0-sikkerhetsoppdatering for Service Pack 4 (denne artikkelen kan være på engelsk)

Filinformasjon

Den engelskspråklige versjonen av denne pakken har filattributtene som står oppført i tabellen nedenfor (eller nyere). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone under Dato og klokkeslett i Kontrollpanel.
   Dato        Tid      Versjon         Størrelse  Filnavn
   -----------------------------------------------------------------------
   04.10.2002  23:59  2000.34.4.0        28 944 byte  Dbmssocn.dll     
   06.09.2002  23:55  2000.33.6.0        53 520 byte  Distrib.exe      
   06.09.2002  23:55  2000.33.6.0        98 576 byte  Logread.exe      
   05.05.2003  18:34                     54 904 byte  Opends60.dbg
   05.05.2003  18:34  2000.41.2.0       155 920 byte  Opends60.dll     
   05.05.2003  18:34                    132 096 byte  Opends60.pdb
   06.09.2002  23:56  2000.33.6.0       250 128 byte  Rdistcom.dll     
   06.09.2002  23:55  2000.33.6.0        82 192 byte  Replmerg.exe     
   06.09.2002  23:56  2000.33.6.0        78 096 byte  Replres.dll      
   17.09.2002  22:52                      7 941 byte  Securityhotfix.sql
   06.09.2002  23:56  2000.33.6.0       160 016 byte  Snapshot.exe     
   30.05.2003  04:21                     59 214 byte  Sp4_serv_uni.sql
   15.01.2003  01:33  2000.37.13.0      344 064 byte  Sqlagent.exe     
   06.09.2002  23:55  2000.33.6.0        45 056 byte  Sqlcmdss.dll     
   16.05.2003  00:18  2000.41.14.0    2 629 632 byte  Sqldmo.dll       
   16.05.2003  13:29  2000.41.14.0       81 920 byte  Sqlmap70.dll     
   29.05.2003  23:11                  4 370 404 byte  Sqlservr.dbg
   30.05.2003  02:44  2000.41.28.0    5 062 928 byte  Sqlservr.exe     
   29.05.2003  23:11                  3 589 120 byte  Sqlservr.pdb
   04.10.2002  23:59  2000.34.4.0        45 328 byte  Ssmsso70.dll     
   16.05.2003  00:18  2000.41.14.0       24 848 byte  Ssnmpn70.dll     
   26.09.2002  20:30                     28 408 byte  Ums.dbg
   26.09.2002  20:27  2000.33.25.0       57 616 byte  Ums.dll          
   26.09.2002  20:29                     99 328 byte  Ums.pdb
   16.05.2003  13:31  2000.41.14.0      151 552 byte  Xpweb70.dll

Bekreftelse

Bruk informasjonen i følgende Microsoft Knowledge Base-artikkel for å fastslå hvilken versjon av SQL Server du kjører:
321185 Slik identifiserer du versjonen av oppdateringspakken for SQL Server (denne artikkelen kan være på engelsk)
Etter at du har kjørt denne oppdateringspakken, returneres "7.00.1094" når du kjører en av følgende SELECT-setninger:
SELECT serverproperty('productversion') 
SELECT @@Version

Referanser

Hvis du vil ha mer informasjon om denne sikkerhetsoppdateringen, kan du gå til følgende Microsoft-webområde (dette området kan være på engelsk):
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Egenskaper

Artikkel-ID: 821279 - Forrige gjennomgang: 27. februar 2014 - Gjennomgang: 7.1
Informasjonen i denne artikkelen gjelder:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Nøkkelord: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com