Artigo: 821279 - Última revisão: segunda-feira, 10 de Julho de 2006 - Revisão: 7.1

MS03-031: Patch de segurança para o SQL Server 7.0 Service Pack 4

Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Este artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) contém informações sobre a disponibilização de um patch de segurança do SQL Server 7.0 Service Pack 4 (SP4) e do Microsoft Data Engine 1.0 SP4. Este patch de segurança substitui todos os patches de segurança anteriores documentados no artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) que se segue, incluindo o patch de segurança do boletim de segurança MS02-061 da Microsoft para o SQL Server 7.0:
327068  (http://support.microsoft.com/kb/327068/ ) SQL Server 7.0 security update for Service Pack 4

Notas importantes

Este pacote não inclui as correcções de segurança que existem no Microsoft Data Access Components (MDAC) e SQL Server Analysis Services.

Este patch de segurança resolve as seguintes vulnerabilidades:
  • Ataque a pipes nomeados
    Quando o SQL Server é iniciado, cria e, em seguida, escuta num pipe nomeado específico, para detectar ligações a receber no servidor. Um pipe nomeado é um canal de um ou dois sentidos especificamente nomeado para a comunicação entre um servidor de pipes e um ou mais clientes de pipes. O SQL Server controla o pipe nomeado para verificar que ligações podem iniciar sessão, no sistema com o SQL Server em execução, para executarem consultas a dados guardados no servidor.

    Existe uma falha no método de verificação do pipe nomeado que pode permitir a um atacante local, em relação ao sistema que executa o SQL Server, atacar (obter o controlo de) o pipe nomeado, quando outro cliente utilizar uma palavra-passe de início de sessão autenticada para iniciar sessão. Isto permite ao atacante obter o controlo do pipe nomeado com o mesmo nível de permissões do utilizador que está a tentar ligar. Se o utilizador que está a tentar ligar remotamente tiver um nível de permissões mais elevado que o atacante, este irá assumir esses direitos quando o pipe nomeado ficar comprometido.
  • Denial-of-service do pipe nomeado
    No mesmo cenário de pipes nomeados referido na secção "Ataque a pipes nomeados" deste boletim, um utilizador não autenticado local, em relação à intranet, poderá conseguir enviar um pacote muito grande para um pipe nomeado específico, no qual o sistema que está a executar o SQL Server efectua a escuta, e fazer com que este deixe de responder.

    Esta vulnerabilidade não permitiria a um atacante executar código arbitrário nem elevar as respectivas permissões, mas é possível a ocorrência de uma condição de denial-of-service que exija o reinício do servidor para restaurar a funcionalidade.
  • Sobrecarga da memória intermédia do SQL Server
    Existe uma falha numa função específica do Windows que poderá permitir a um utilizador autenticado, com acesso directo para iniciar sessão no sistema que executa o SQL Server, criar um pacote especialmente concebido que, quando enviado para a porta da chamada de procedimento local (LPC, local procedure call) de escuta do sistema, pode provocar uma sobrecarga da memória intermédia. Se esta falha for explorada com êxito, poderá permitir a um utilizador com permissões limitadas no sistema elevar as suas permissões para o nível da conta de serviço do SQL Server, ou levar à execução de código arbitrário.
Voltar ao topo

Mais Informação

Notas importantes

Leia as seguintes notas importantes sobre como instalar este patch de segurança num computador com o SQL Server 7.0 SP4.

É apresentada uma mensagem de erro quando estabelece ligação com um computador baseado no Microsoft Windows NT 4.0 utilizando pipes nomeados

Quando estabelece ligação com um computador baseado no Windows NT 4.0 com o SQL Server 7.0 utilizando pipes nomeados e essa ligação é efectuada por um utilizador não administrador, poderá receber uma mensagem de erro semelhante a uma das seguintes:
Mensagem 1
Não foi possível estabelecer a ligação. O SQL Server não existe
Mensagem 2
Não foi possível estabelecer a ligação. Acesso negado.
Para obter uma correcção que resolva esta mensagem de erro, consulte o seguinte artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
823492  (http://support.microsoft.com/kb/823492/ ) "Connection could not be established" error message when you connect to a Windows NT 4.0-based computer that is running SQL Server 2000 or SQL Server 7.0

Pré-requisitos

Este patch de segurança requer o SQL Server 7.0 SP4.

Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
301511  (http://support.microsoft.com/kb/301511/ ) How to obtain the latest SQL Server 7.0 service pack
Para instalações em cluster do SQL Server 7.0, deve primeiro remover o SQL Server do cluster executando o Failover Wizard do SQL Server a partir do nó principal do cluster de cada SQL Server virtual.
Activo/Activo
Siga estes passos para uma instalação Activo/Activo:
  1. Certifique-se de que o nó do computador onde o SQL Server 7.0 foi originalmente instalado controla ambos os grupos de recursos do SQL Server.
  2. Em cada nó do cluster, execute o utilitário Failover Setup Wizard para remover o SQL Server virtual.
  3. Depois de remover o SQL Server do cluster, deverá executar o ficheiro executável da correcção em ambos os nós e concluir a instalação da correcção com êxito antes de voltar a colocar o SQL Server em cluster.
Activo/Passivo
Siga estes passos para uma instalação Activo/Passivo:
  1. Certifique-se de que o nó do computador onde o SQL Server 7.0 foi originalmente instalado controla ambos os recursos do SQL Server.
  2. No mesmo nó do computador, execute o utilitário Failover Setup Wizard para remover o SQL Server virtual.
  3. Depois de remover o SQL Server do cluster, deverá executar o ficheiro executável da correcção apenas no nó principal e concluir a instalação da correcção com êxito antes de voltar a colocar o SQL Server em cluster.
Voltar ao topo

Informações de transferência

O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o patch de segurança MS03-031 do SQL Server 7.0 agora. (http://www.microsoft.com/downloads/details.aspx?FamilyId=FE5B0892-A5C9-44C2-9B42-0D291E9C1636)
Data de edição: 23 de Julho de 2003

Para obter mais informações sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591  (http://support.microsoft.com/kb/119591/ ) Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual, disponível na data de publicação do ficheiro. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Informações de instalação

Este patch de segurança suporta os seguintes parâmetros de configuração.
Reduzir esta tabelaExpandir esta tabela
ParâmetroDescrição
/sDesactiva a caixa de diálogo de progresso da extracção automática. Deve ser colocado antes do parâmetro /a.
/aEste parâmetro deve ser colocado antes de todos os outros parâmetros, excepto /s, caso esteja a executar uma correcção utilizando um EXE de extracção automática e pretenda incluir parâmetros para instalações automáticas. Este é um parâmetro obrigatório para que o programa de instalação possa ser executado no modo automático.
/qEste parâmetro provoca a execução do programa de configuração no modo silencioso sem interface do utilizador.
BLANKSAPWD Este parâmetro significa que a palavra-passe de sa para a autenticação do SQL está em branco. Se introduzir este parâmetro em computadores com o Windows NT ou Windows 2000, o início de sessão predefinido com autenticação do Windows é substituído e o programa de instalação tenta iniciar sessão com uma palavra-passe de sa em branco. O formato correcto para este parâmetro é BLANKSAPWD=1. Este parâmetro é reconhecido apenas para instalações automáticas.
SAPWDPalavra-passe de sa não vazia. Se introduzir este parâmetro, deve fazê-lo no formato SAPWD=suapalavra-passedesa. Este parâmetro substitui a autenticação do Windows predefinida em computadores com o Windows NT ou Windows 2000, ou BLANKSAPWD, se introduzido.
Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
330391  (http://support.microsoft.com/kb/330391/ ) SQL Server hotfix installer

Necessidade de reinício

Não é necessário reiniciar o computador depois de aplicar este patch de segurança, a não ser que o programa de instalação da correcção o solicite.

Informações de remoção

A remoção deste patch de segurança não é suportada, a não ser que tenha sido efectuada uma cópia de segurança de determinados catálogos antes da instalação do patch de segurança. Para obter mais informações, consulte a secção "How to Remove or Rollback the Hotfix" no artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) que se segue:
330391  (http://support.microsoft.com/kb/330391/ ) SQL Server hotfix installer

Informações sobre a substituição de patches de segurança

Este patch de segurança substitui todos os patches de segurança anteriores documentados no artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) que se segue, incluindo o patch de segurança do boletim de segurança MS02-061 da Microsoft para o SQL Server 7.0:
327068  (http://support.microsoft.com/kb/327068/ ) SQL Server 7.0 security update for Service Pack 4

Informações sobre os ficheiros

A versão inglesa deste pacote tem os atributos de ficheiro listados na tabela que se segue (ou posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Coordinated Universal Time). Ao visualizar as informações dos ficheiros, estas serão convertidas na hora local. Para determinar a diferença entre a hora UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data e hora (Date and Time) do Painel de controlo (Control Panel).
   Data         Hora   Versão            Tamanho        Ficheiro
   -----------------------------------------------------------------------
   04-Oct-2002  23:59  2000.34.4.0        28,944 bytes  Dbmssocn.dll     
   06-Sep-2002  23:55  2000.33.6.0        53,520 bytes  Distrib.exe      
   06-Sep-2002  23:55  2000.33.6.0        98,576 bytes  Logread.exe      
   05-May-2003  18:34                     54,904 bytes  Opends60.dbg
   05-May-2003  18:34  2000.41.2.0       155,920 bytes  Opends60.dll     
   05-May-2003  18:34                    132,096 bytes  Opends60.pdb
   06-Sep-2002  23:56  2000.33.6.0       250,128 bytes  Rdistcom.dll     
   06-Sep-2002  23:55  2000.33.6.0        82,192 bytes  Replmerg.exe     
   06-Sep-2002  23:56  2000.33.6.0        78,096 bytes  Replres.dll      
   17-Sep-2002  22:52                      7,941 bytes  Securityhotfix.sql
   06-Sep-2002  23:56  2000.33.6.0       160,016 bytes  Snapshot.exe     
   30-May-2003  04:21                     59,214 bytes  Sp4_serv_uni.sql
   15-Jan-2003  01:33  2000.37.13.0      344,064 bytes  Sqlagent.exe     
   06-Sep-2002  23:55  2000.33.6.0        45,056 bytes  Sqlcmdss.dll     
   16-May-2003  00:18  2000.41.14.0    2,629,632 bytes  Sqldmo.dll       
   16-May-2003  13:29  2000.41.14.0       81,920 bytes  Sqlmap70.dll     
   29-May-2003  23:11                  4,370,404 bytes  Sqlservr.dbg
   30-May-2003  02:44  2000.41.28.0    5,062,928 bytes  Sqlservr.exe     
   29-May-2003  23:11                  3,589,120 bytes  Sqlservr.pdb
   04-Oct-2002  23:59  2000.34.4.0        45,328 bytes  Ssmsso70.dll     
   16-May-2003  00:18  2000.41.14.0       24,848 bytes  Ssnmpn70.dll     
   26-Sep-2002  20:30                     28,408 bytes  Ums.dbg
   26-Sep-2002  20:27  2000.33.25.0       57,616 bytes  Ums.dll          
   26-Sep-2002  20:29                     99,328 bytes  Ums.pdb
   16-May-2003  13:31  2000.41.14.0      151,552 bytes  Xpweb70.dll

Verificação

Para determinar a versão do SQL Server que está a executar, utilize as informações constantes no artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) que se segue:
321185  (http://support.microsoft.com/kb/321185/ ) How to identify your SQL Server version and edition
Depois de aplicar este patch de segurança, deverá receber "7.00.1094" quando executar uma das seguintes instruções SELECT:
SELECT serverproperty('productversion') 
SELECT @@Version
Voltar ao topo

Referências

Para obter mais informações sobre este patch de segurança, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx (http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx)
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Voltar ao topo
Palavras-chave: 
atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Voltar ao topo