MS03-031: Обновление для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4)

Переводы статьи Переводы статьи
Код статьи: 821279 - Vizualiza?i produsele pentru care se aplic? acest articol.
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Развернуть все | Свернуть все

В этой статье

Аннотация

Данная статья содержит информацию о выпуске обновления для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4) и компонента Microsoft Data Engine 1.0 с пакетом обновления 4 (SP4). Данное обновление для системы безопасности заменяет все предыдущие обновления, описанные в следующих статьях базы знаний Майкрософт, включая обновление для системы безопасности SQL Server 7.0, описанное в бюллетене по безопасности MS02-061:
327068 Обновление для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Важные замечания

Данный пакет не включает исправления для компонентов MDAC и служб SQL Server Analysis Services.

Данное обновление для системы безопасности устраняет следующие уязвимости:
  • Захват именованного канала
    При запуске SQL Server создает именованный канал, который в дальнейшем им прослушивается для установки входящих подключений. Именованный канал представляет собой односторонний или двусторонний канал для обмена данными между сервером, создавшим канал, и клиентами. SQL Server проверяет именованный канал в поисках подключений клиентов, которые могут входить в систему и выполнять запросы к данным, хранящимся на сервере.

    В используемом методе проверки существует уязвимость, позволяющая злоумышленнику, имеющему доступ к консоли компьютера, на котором запущен SQL Server, осуществлять захват именованного канала в момент, когда другой пользователь входит в систему, и использовать именованный канал с правами данного пользователя. Если пользователь, удаленно входивший в систему, имел больше прав, чем злоумышленник, то после захвата именованного канала злоумышленник получит права этого пользователя.
  • Отказ в обслуживании именованного канала
    В ситуации аналогичной той, которая описана в разделе «Захват именованного канала», локальный пользователь интрасети, не прошедший проверку подлинности, может отправить большой пакет данных по именованному каналу на компьютер, на котором запущен SQL Server, в результате чего сервер перестанет отвечать на запросы.

    Данная уязвимость не позволяет злоумышленнику запускать произвольный код или расширять свои права, но с ее помощью можно заблокировать работу сервера, после чего для восстановления работоспособности понадобится перезапуск сервера.
  • Переполнение буфера в SQL Server
    В одной из функций Windows существует уязвимость, позволяющая пользователю, прошедшему проверку подлинности и имеющему доступ к консоли сервера, создать и отправить на порт LPC (local procedure call) пакет, вызывающий переполнение буфера. Успешное использование данной уязвимости позволяет злоумышленнику получать права учетной записи службы SQL Server и выполнять любой код.

Дополнительная информация

Важные замечания

Прочтите следующие замечания об установке данного обновления для системы безопасности на компьютер, на котором запущен SQL Server 7.0 с пакетом обновления 4 (SP4).

При подключении к компьютеру под управлением Microsoft Windows NT 4.0 с помощью именованных каналов появляется сообщение об ошибке

Если пользователь, не являющийся администратором, с помощью именованных каналов подключается к компьютеру под управлением Microsoft Windows NT 4.0, на котором запущен SQL Server 7.0, может появляться сообщение об ошибке следующего вида:
Сообщение 1
Не удалось установить подключение. SQL-сервер не существует.
Сообщение 2
Не удалось установить подключение. Отказано в доступе.
Для получения исправления, устраняющего указанную ошибку, обратитесь к следующей статье базы знаний Майкрософт:
823492 При подключении к компьютеру под управлением Windows NT 4.0, на котором запущен сервер SQL Server 2000 или сервер SQL Server 7.0, появляется сообщение об ошибке «Не удалось установить подключение» (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Необходимые условия

Для установки этого обновления для системы безопасности необходим SQL Server 7.0 с пакетом обновления 4 (SP4).

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
301511 Как получить последний пакет обновления для сервера SQL Server 7.0
При использовании кластерных установок SQL Server 7.0 необходимо сначала вывести серверы SQL Server из состава кластера. Для этого для всех виртуальных серверов SQL на основном узле кластера запустите мастер SQL Server Failover Wizard.
Активно-активный
При использовании режима «Активно-активный» выполните следующие действия:
  1. Убедитесь, что компьютер, на котором изначально был установлен SQL Server 7.0, управляет обеими группами ресурсов сервера SQL.
  2. На каждом узле кластера запустите мастер Failover Setup Wizard для удаления этого виртуального сервера SQL.
  3. После вывода узлов из состава кластера необходимо на каждом узле запустить исполняемый файл исправления, выполнить установку, а затем снова создать кластер.
Активно-пассивный
При использовании режима «Активно-пассивный» выполните следующие действия:
  1. Убедитесь, что компьютер, на котором изначальном был установлен SQL Server 7.0, управляет ресурсами сервера SQL.
  2. Запустите на этом компьютере мастер Failover Setup Wizard для удаления данного виртуального сервера SQL.
  3. После вывода узлов из состава кластера необходимо запустить исполняемый файл исправления только на первичном узле, выполнить установку, а затем снова создать кластер.

Сведения о загрузке

Загрузите следующий файл с веб-узла центра загрузки Microsoft:
Свернуть это изображениеРазвернуть это изображение
Загрузка
Загрузить обновление MS03-031 для системы безопасности SQL Server 7.0.
Дата выпуска: 23 июля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на защищенном сервере, что предотвращает его несанкционированное изменение.

Сведения об установке

При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки.
Свернуть эту таблицуРазвернуть эту таблицу
ПараметрОписание
/sОтключает отображения окна хода выполнения автоматического извлечения файлов. Данный параметр должен указываться до параметра /a.
/aДанный параметр должен указываться раньше других параметров, за исключением параметра /s. Это необходимо, если при запуске исполняемого файла исправления в автоматическом режиме требуется указать дополнительные параметры. При использовании автоматического режима установки данный параметр является обязательным.
/qНе отображать интерфейс пользователя.
BLANKSAPWD Показывает, что используется пустой пароль учетной записи sa. На компьютерах под управлением Windows NT или Windows 2000 данный параметр имеет преимущества над параметрами Windows и при входе в систему с помощью учетной записи sa будет использоваться пустой пароль. Синтаксис параметра: BLANKSAPWD=1. Данный параметр используется программой установки только при автоматической установке.
SAPWDПароль учетной записи sa не является пустым. При указании данного параметра необходимо использовать синтаксис SAPWD=пароль_учетной_записи_sa. На компьютерах под управлением Windows NT или Windows 2000 данный параметр имеет преимущества над параметрами Windows, а также преимущество над параметром BLANKSAPWD, если последний указан.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
330391 Установщик исправлений для SQL Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Необходимость перезагрузки

Если программа установки данного обновления для системы безопасности не предложила выполнить перезагрузку компьютера, то перезагрузку выполнять не требуется.

Сведения об удалении

Удаление данного исправления возможно, только если определенные папки были заархивированы до его установки. За дополнительными сведениями обратитесь к разделу «How to Remove or Rollback the Hotfix» следующей статьи базы знаний Майкрософт:
330391 Установщик исправлений для SQL Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сведения о замене обновлений для системы безопасности

Данное обновление для системы безопасности заменяет все предыдущие обновления, описанные в следующих статьях базы знаний Майкрософт, включая обновление для системы безопасности SQL Server 7.0, описанное в бюллетене по безопасности MS02-061:
327068 Обновление для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сведения о файлах

Английская версия данного пакета содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время для файлов указаны в формате UTC (Coordinated Universal Time). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем в формате UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.
   Дата         Время  Версия             Размер       Имя файла
   -----------------------------------------------------------------------
   04-окт-2002  23:59  2000.34.4.0        28 944 байт  Dbmssocn.dll
   06-сен-2002  23:55  2000.33.6.0        53 520 байт  Distrib.exe
   06-сен-2002  23:55  2000.33.6.0        98 576 байт  Logread.exe
   05-мая-2003  18:34                     54 904 байт  Opends60.dbg
   05-мая-2003  18:34  2000.41.2.0       155 920 байт  Opends60.dll
   05-мая-2003  18:34                    132 096 байт  Opends60.pdb
   06-сен-2002  23:56  2000.33.6.0       250 128 байт  Rdistcom.dll
   06-сен-2002  23:55  2000.33.6.0        82 192 байт  Replmerg.exe
   06-сен-2002  23:56  2000.33.6.0        78 096 байт  Replres.dll
   17-сен-2002  22:52                      7 941 байт  Securityhotfix.sql
   06-сен-2002  23:56  2000.33.6.0       160 016 байт  Snapshot.exe
   30-мая-2003  04:21                     59 214 байт  Sp4_serv_uni.sql
   15-янв-2003  01:33  2000.37.13.0      344 064 байт  Sqlagent.exe
   06-сен-2002  23:55  2000.33.6.0        45 056 байт  Sqlcmdss.dll
   16-мая-2003  00:18  2000.41.14.0    2 629 632 байт  Sqldmo.dll
   16-мая-2003  13:29  2000.41.14.0       81 920 байт  Sqlmap70.dll
   29-мая-2003  23:11                  4 370 404 байт  Sqlservr.dbg
   30-мая-2003  02:44  2000.41.28.0    5 062 928 байт  Sqlservr.exe
   29-мая-2003  23:11                  3 589 120 байт  Sqlservr.pdb
   04-окт-2002  23:59  2000.34.4.0        45 328 байт  Ssmsso70.dll
   16-мая-2003  00:18  2000.41.14.0       24 848 байт  Ssnmpn70.dll
   26-сен-2002  20:30                     28 408 байт  Ums.dbg
   26-сен-2002  20:27  2000.33.25.0       57 616 байт  Ums.dll
   26-сен-2002  20:29                     99 328 байт  Ums.pdb
   16-мая-2003  13:31  2000.41.14.0      151 552 байт  Xpweb70.dll

Проверка

За сведениями об определении номера используемой версии SQL Server обратитесь к следующей статье базы знаний Майкрософт:
321185 Как определить версию и выпуск пакета обновления для SQL Server
После установки данного обновления для системы безопасности любая из следующих инструкций SELECT возвращает строку «7.00.1094»:
SELECT serverproperty('productversion')
SELECT @@Version

Ссылки

Дополнительные сведения об этом обновлении для системы безопасности см. на веб-узле корпорации Майкрософт по адресу:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Свойства

Код статьи: 821279 - Последний отзыв: 21 февраля 2014 г. - Revision: 7.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Ключевые слова: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com