MS03-031: Poprawka zabezpieczeń dla programu SQL Server 7.0 z dodatkiem Service Pack 4

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 821279 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Niniejszy artykuł z bazy wiedzy Microsoft Knowledge Base zawiera informacje o wydaniu poprawki zabezpieczeń dla programu SQL Server 7.0 z dodatkiem Service Pack 4 (SP4) i aparatu Microsoft Data Engine 1.0 z dodatkiem SP4. Ta poprawka zabezpieczeń zastępuje wszystkie poprzednie poprawki zabezpieczeń, które udokumentowano w następującym artykule z bazy wiedzy Microsoft Knowledge Base, w tym poprawkę zabezpieczeń opisaną w biuletynie Microsoft Security Bulletin MS02-061 dla programu SQL Server 7.0:
327068 INF: Instalator poprawek programu SQL Server

Ważne informacje

Ten pakiet nie zawiera poprawek zabezpieczeń zawartych w składnikach MDAC (Microsoft Data Access Components) i w usługach Analysis Services programu SQL Server.

Ta poprawka zabezpieczeń eliminuje następujące luki:
  • Przejęcie kontroli nad nazwanym potokiem
    Podczas uruchamiania program SQL Server tworzy specjalny nazwany potok dla przychodzących połączeń z serwerem, a następnie go nasłuchuje. Nazwany potok to nazwany, jedno- lub dwukierunkowy kanał służący do komunikacji pomiędzy serwerem potoku a jednym lub większą liczbą klientów potoku. Program SQL Server sprawdza ten nazwany potok, aby stwierdzić, które połączenia mogą zalogować się do systemu z uruchomionym programem SQL Server w celu uruchomienia kwerend dotyczących danych przechowywanych na serwerze.

    Metoda tego sprawdzania nazwanego potoku ma wadę, która umożliwia atakującemu zalogowanemu lokalnie do systemu z uruchomionym programem SQL Server przejęcie kontroli nad tym nazwanym potokiem, gdy inny klient używa do zalogowania się uwierzytelnionego hasła logowania. Umożliwiłoby to atakującemu uzyskanie kontroli nad nazwanym potokiem na tym samym poziomie uprawnień, jaki ma użytkownik próbujący się połączyć. Jeśli użytkownik próbujący się połączyć zdalnie ma wyższy poziom uprawnień niż atakujący, atakujący przejmuje jego prawa po złamaniu zabezpieczeń nazwanego potoku.
  • Odmowa usługi związana z nazwanym potokiem
    W tym samym scenariuszu nazwanych potoków, który opisano w sekcji „Przejęcie kontroli nad nazwanym potokiem” tego biuletynu, nieuwierzytelniony użytkownik zalogowany lokalnie do intranetu mógłby być w stanie wysłać bardzo duży pakiet do specjalnego nazwanego potoku, który jest nasłuchiwany przez komputer z uruchomionym programem SQL Server, i spowodować, że komputer ten przestanie odpowiadać.

    Ta luka nie pozwala atakującemu na uruchomienie żadnego kodu ani na podwyższenie swoich uprawnień; jednak nadal może istnieć warunek odmowy usługi wymagający ponownego uruchomienia serwera w celu przywrócenia jego działania.
  • Przekroczenie buforu w programie SQL Server
    Pewna określona funkcja systemu Windows ma wadę, która pozwala nieuwierzytelnionemu użytkownikowi, mającemu możliwość bezpośredniego zalogowania się do systemu z programem SQL Server, na utworzenie umiejętnie zmodyfikowanego pakietu, który po wysłaniu go do portu nasłuchującego lokalnego wywoływania procedur w tym systemie może spowodować przekroczenie buforu. Wada ta, pomyślnie wykorzystana, umożliwia użytkownikowi, który ma ograniczone uprawnienia do systemu, podwyższenie swoich uprawnień do poziomu konta usługi programu SQL Server lub uruchomienie dowolnego kodu.

Więcej informacji

Ważne informacje

Przeczytaj niniejsze ważne informacje dotyczące instalacji tej poprawki zabezpieczeń na komputerze z programem SQL Server 7.0 z dodatkiem SP4.

Komunikat o błędzie podczas łączenia się z komputerem z systemem Microsoft Windows NT 4.0 za pomocą nazwanych potoków

Podczas łączenia się z komputerem z systemem Microsoft Windows NT 4.0 i programem SQL Server 7.0 za pomocą nazwanych potoków przez użytkownika, który nie jest administratorem, może pojawić się komunikat o błędzie podobny do jednego z następujących:
Komunikat 1
Nie można ustanowić połączenia. Program SQL Server nie istnieje
Komunikat 2
Nie można ustanowić połączenia. Odmowa dostępu.
Aby uzyskać poprawkę rozwiązującą ten problem, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
823492 Komunikat o błędzie „Nie można ustanowić połączenia” podczas łączenia się z komputerem z systemem Windows NT 4.0, na którym jest uruchomiony program SQL Server 2000 lub SQL Server 7.0

Wymagania wstępne

Ta poprawka zabezpieczeń wymaga programu SQL Server 7.0 z dodatkiem SP4.

Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
301511 How to obtain the latest SQL Server 7.0 service pack
W przypadku instalacji klastra programu SQL Server 7.0 najpierw należy zlikwidować klaster programu SQL Server, uruchamiając Kreatora pracy awaryjnej programu SQL Server z podstawowego węzła klastra każdego wirtualnego serwera SQL Server.
Instalacja typu aktywny/aktywny
W przypadku instalacji typu aktywny/aktywny wykonaj następujące kroki:
  1. Upewnij się, że komputer-węzeł, na którym początkowo zainstalowano program SQL Server 7.0, kontroluje obie grupy zasobów SQL Server.
  2. Na każdym węźle klastra uruchom Kreatora konfiguracji pracy awaryjnej w celu usunięcia danego wirtualnego serwera SQL Server.
  3. Po zlikwidowaniu klastra programu SQL Server musisz uruchomić plik wykonywalny poprawki na obu węzłach i pomyślnie przeprowadzić instalację poprawki przed ponownym utworzeniem klastra programu SQL Server.
Instalacja typu aktywny/pasywny
W przypadku instalacji typu aktywny/pasywny wykonaj następujące kroki:
  1. Upewnij się, że komputer-węzeł, na którym początkowo zainstalowano program SQL Server 7.0, kontroluje zasoby SQL Server.
  2. Na tym samym komputerze-węźle uruchom Kreatora konfiguracji pracy awaryjnej w celu usunięcia wirtualnego serwera SQL Server.
  3. Po zlikwidowaniu klastra programu SQL Server musisz uruchomić plik wykonywalny poprawki tylko na węźle głównym i pomyślnie przeprowadzić instalację poprawki przed ponownym utworzeniem klastra programu SQL Server.

Informacje dotyczące pobierania

Poniższy plik jest udostępniony do pobrania w witrynie Microsoft – Centrum pobierania:
Zwiń ten obrazekRozwiń ten obrazek
Pobieranie
Pobierz pakiet poprawki zabezpieczeń MS03-031 dla programu SQL Server 7.0.
Data wydania: 23 lipca 2003

Aby uzyskać więcej informacji na temat sposobów pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonym poziomie zabezpieczeń, które utrudniają wprowadzanie nieautoryzowanych zmian w pliku.

Informacje dotyczące instalacji

Ta poprawka zabezpieczeń obsługuje następujące przełączniki Instalatora.
Zwiń tę tabelęRozwiń tę tabelę
PrzełącznikOpis
/sWyłącza okno dialogowe postępu Self Extraction. Musi występować przed przełącznikiem /a.
/aTen parametr musi występować przed wszystkimi innymi parametrami z wyjątkiem /s, jeśli uruchamiasz poprawkę przy użyciu samowyodrębniającego się pliku EXE i chcesz dołączyć parametry instalacji nienadzorowanej. Jest to parametr wymagany w przypadku instalacji nienadzorowanej.
/qTen przełącznik powoduje uruchomienie Instalatora w trybie cichym, bez interfejsu użytkownika.
BLANKSAPWD Ten parametr wskazuje, że hasło sa dla uwierzytelniania SQL jest puste. Jeśli wprowadzisz ten parametr na komputerze z systemem Windows NT lub Windows 2000, domyślne uwierzytelnianie systemu Windows zostaje zastąpione i następuje próba zalogowania przy użyciu pustego hasła sa. Poprawny format tego parametru jest następujący: BLANKSAPWD=1. Ten parametr jest rozpoznawany tylko w przypadku instalacji nienadzorowanych.
SAPWDNiepuste hasło sa. Parametr ten należy wprowadzić w następującym formacie: SAPWD=hasło_użytkownika. Ten parametr zastępuje domyślne uwierzytelnianie systemu Windows na komputerach z systemem Windows NT lub Windows 2000 albo parametr BLANKSAPWD, jeśli zostanie wprowadzony.
Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
330391 SQL Server hotfix installer

Wymagania dotyczące ponownego uruchomienia

Po zastosowaniu tej poprawki zabezpieczeń nie jest wymagane ponowne uruchomienie komputera, chyba że pojawi się odpowiedni monit Instalatora poprawki.

Informacje dotyczące usuwania

Usuwanie tej poprawki zabezpieczeń nie jest obsługiwane, chyba że przed jej zainstalowaniem wykonano kopię zapasową pewnych katalogów. Aby uzyskać więcej informacji zobacz sekcję „Jak usunąć lub wycofać poprawkę” w następującym artykule z bazy wiedzy Microsoft Knowledge Base:
330391 SQL Server hotfix installer

Informacje dotyczące zastępowania poprawek zabezpieczeń

Ta poprawka zabezpieczeń zastępuje wszystkie poprzednie poprawki zabezpieczeń, które udokumentowano w następującym artykule z bazy wiedzy Microsoft Knowledge Base, w tym poprawkę zabezpieczeń opisaną w biuletynie Microsoft Security Bulletin MS02-061 dla programu SQL Server 7.0:
327068 INF: Instalator poprawek programu SQL Server

Informacje dotyczące plików

Wersja angielskojęzyczna tego pakietu ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny ostatniej modyfikacji plików podano zgodnie z czasem UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy skorzystać z karty Strefa czasowa narzędzia Data i godzina w Panelu sterowania.
   Data         Godz.    Wersja            Rozmiar         Nazwa pliku
   --------------------------------------------------------------------------
   04-paź-2002  23:59    2000.34.4.0        28 944 bajtów  Dbmssocn.dll
   06-wrz-2002  23:55    2000.33.6.0        53 520 bajtów  Distrib.exe
   06-wrz-2002  23:55    2000.33.6.0        98 576 bajtów  Logread.exe
   05-maj-2003  18:34                       54 904 bajtów  Opends60.dbg
   05-maj-2003  18:34    2000.41.2.0       155 920 bajtów  Opends60.dll
   05-maj-2003  18:34                      132 096 bajtów  Opends60.pdb
   06-wrz-2002  23:56    2000.33.6.0       250 128 bajtów  Rdistcom.dll
   06-wrz-2002  23:55    2000.33.6.0        82 192 bajtów  Replmerg.exe
   06-wrz-2002  23:56    2000.33.6.0        78 096 bajtów  Replres.dll
   17-wrz-2002  22:52                        7 941 bajtów  Securityhotfix.sql
   06-wrz-2002  23:56    2000.33.6.0       160 016 bajtów  Snapshot.exe
   30-maj-2003  04:21                       59 214 bajtów  Sp4_serv_uni.sql
   15-sty-2003  01:33    2000.37.13.0      344 064 bajtów  Sqlagent.exe
   06-wrz-2002  23:55    2000.33.6.0        45 056 bajtów  Sqlcmdss.dll
   16-maj-2003  00:18    2000.41.14.0    2 629 632 bajtów  Sqldmo.dll
   16-maj-2003  13:29    2000.41.14.0       81 920 bajtów  Sqlmap70.dll
   29-maj-2003  23:11                    4 370 404 bajtów  Sqlservr.dbg
   30-maj-2003  02:44    2000.41.28.0    5 062 928 bajtów  Sqlservr.exe
   29-maj-2003  23:11                    3 589 120 bajtów  Sqlservr.pdb
   04-paź-2002  23:59    2000.34.4.0        45 328 bajtów  Ssmsso70.dll
   16-maj-2003  00:18    2000.41.14.0       24 848 bajtów  Ssnmpn70.dll
   26-wrz-2002  20:30                       28 408 bajtów  Ums.dbg
   26-wrz-2002  20:27    2000.33.25.0       57 616 bajtów  Ums.dll
   26-wrz-2002  20:29                       99 328 bajtów  Ums.pdb
   16-maj-2003  13:31    2000.41.14.0      151 552 bajtów  Xpweb70.dll

Weryfikacja

Aby ustalić, która wersja programu SQL Server jest zainstalowana na komputerze, skorzystaj z informacji zawartych w następującym artykule z bazy wiedzy Microsoft Knowledge Base:
321185 JAK: Identyfikowanie wersji i wydania dodatku Service dla programu SQL Server
Po zastosowaniu tej poprawki zabezpieczeń wartość „7.00.1094” powinna być zwrócona podczas wykonywania jednej z następujących instrukcji SELECT:
SELECT serverproperty('productversion') 
SELECT @@Version

Materiały referencyjne

Aby uzyskać więcej informacji dotyczących tej poprawki zabezpieczeń, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Właściwości

Numer ID artykułu: 821279 - Ostatnia weryfikacja: 27 lutego 2014 - Weryfikacja: 7.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Słowa kluczowe: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com