MS03-031: Säkerhetskorrigering för SQL Server 7.0 Service Pack 4

Artikelöversättning Artikelöversättning
Artikel-id: 821279 - Visa produkter som artikeln gäller.
Den här artikeln har arkiverats. Den erbjuds "i befintligt skick" och kommer inte längre att uppdateras.
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Den här artikeln innehåller information om en säkerhetskorrigering för SQL Server 7.0 Service Pack 4 (SP4) och Microsoft Data Engine 1.0 SP4. Säkerhetskorrigeringen ersätter alla tidigare säkerhetskorrigeringar som dokumenteras i följande artikel i Microsoft Knowledge Base, däribland säkerhetskorrigeringen för Microsoft-säkerhetsbulletinen MS02-061 för SQL Server 7.0:
327068 Säkerhetsuppdatering för SQL Server 7.0 Service Pack 4 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Viktigt!

Det här paketet innehåller inte säkerhetskorrigeringarna i Microsoft Data Access Components (MDAC) och SQL Server Analysis Services.

Denna säkerhetsuppdatering löser följande säkerhetsproblem:
  • Kapning av en namngiven pipe
    När SQL Server startas skapar och lyssnar det på en viss namngiven pipe efter inkommande anslutningar till servern. En namngiven pipe är en särskilt namngiven en- eller tvåvägskanal för kommunikation mellan en pipe-server och en eller flera pipe-klienter. SQL Server kontrollerar denna namngivna pipe för att undersöka vilka anslutningar som kan logga in på datorn där SQL Server körs för att köra frågor mot data som är lagrade på servern.

    Det finns ett fel i kontrollmetoden för den namngiven pipen som gör att en lokal angripare på datorn där SQL Server körs kan få kontroll över den namngivna pipen när ett autentiserat inloggningslösenord används för inloggning från en annan klient. Detta kan medföra att angriparen tar kontroll över den namngivna pipen på samma behörighetsnivå som användaren som försöker ansluta. Om användaren som försöker ansluta från en annan dator har en högre behörighetsnivå än angriparen får angriparen den behörigheten när den namngivna pipen angrips.
  • DoS (Denial of Service) i en namngiven pipe
    I samma scenario som beskrivs i "Kapning av en namngiven pipe" i den här bulletinen kan en oautentiserad användare inom intranätet skicka ett mycket stort paket till en viss namngiven pipe där datorn med SQL Server lyssnar, vilket medför att denna dator slutar svara.

    Detta säkerhetsproblem ger inte en angripare möjlighet att köra skadlig kod eller höja sin behörighet, men det kan medföra ett DoS-tillstånd (Denial of Service) som gör att servern måste startas om.
  • Buffertöverskridning i SQL Server
    Det finns ett fel i en viss Windows-funktion som kan ge en autentiserad användare med direkt inloggningsåtkomst på datorn med SQL Server möjlighet att skapa ett särskilt utformat paket, som när det skickas till datorns LPC-port (Local Procedure Call) kan medföra en buffertöverskridning. Felet kan göra att en användare med begränsad behörighet på datorn kan höja sin behörighet till SQL Server-tjänstkontots nivå eller köra skadlig kod.

Mer Information

Viktigt!

Läs följande viktiga information om installation av säkerhetskorrigeringen på en dator med SQL Server 7.0 SP4.

Ett felmeddelande visas vid anslutning till en dator med Microsoft Windows NT 4.0 med hjälp av namngivna pipes

När en användare som inte är administratör ansluter till en dator med Windows NT 4.0 och SQL Server 7.0 med hjälp av namngivna pipes kan ett felmeddelande av följande slag visas:
Meddelande 1
Det gick inte att upprätta en anslutning. SQL Server finns inte.
Meddelande 2
Det gick inte att upprätta en anslutning. Åtkomst nekad.
Information om hur du skaffar en snabbkorrigering för det här felmeddelandet finns i följande artikel i Microsoft Knowledge Base:
823492 Felmeddelandet "Det gick inte att upprätta en anslutning" visas vid anslutning till en dator med Windows NT 4.0 och SQL Server 2000 eller SQL Server 7.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Förutsättningar

Denna säkerhetskorrigering kräver SQL Server 7.0 SP4.

Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
301511 Hur du hämtar senaste Service Pack för SQL Server 7.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
För klusterinstallationer av SQL Server 7.0 måste du först frigöra SQL Server från klustret genom att köra SQL Server Failover Wizard från den primära klusternoden på varje virtuell SQL Server.
Aktiv/Aktiv
Gör följande för en Aktiv/Aktiv-installation:
  1. Se till att datornoden där SQL Server 7.0 ursprungligen installerades styr båda SQL Server-resursgrupperna.
  2. Kör verktyget Failover Setup Wizard på varje nod i klustret för borttagning av denna virtuella SQL Server.
  3. När du har frigjort SQL Server från klustret måste du köra den körbara snabbkorrigeringsfilen på båda noderna och slutföra installationen av snabbkorrigeringen innan du klustrar SQL Server igen.
Aktiv/Passiv
Gör följande för en Aktiv/Passiv-installation:
  1. Se till att datornoden där SQL Server 7.0 ursprungligen installerades styr SQL Server-resurserna.
  2. Kör verktyget Failover Setup Wizard på samma datornod för borttagning av denna virtuella SQL Server.
  3. När du har frigjort SQL Server från klustret måste du köra den körbara snabbkorrigeringsfilen enbart på den primära noden och slutföra installationen av snabbkorrigeringen innan du klustrar SQL Server igen.

Information om hämtning

Följande fil kan hämtas från Microsoft Download Center:
Dölj bildenVisa bilden
Hämta
Hämta paketet med säkerhetskorrigeringen MS03-031 för SQL Server 7.0 nu.
Utgivningsdatum: 23 juli 2003

Om du vill ha mer information om hur du hämtar Microsoft-supportfiler klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
Dölj tabellenVisa tabellen
VäxelBeskrivning
/sInaktiverar förloppsdialogrutan Self Extraction. Måste komma före växeln /a.
/aDenna parameter måste komma före alla övriga parametrar utom /s om du kör snabbkorrigeringen med hjälp av den självextraherande EXE-filen och du vill inkludera parametrar för obevakade installationer. Detta är en obligatorisk parameter om installationsprogrammet ska köras i obevakat läge.
/qDenna växel medför att installationsprogrammet körs utan meddelanden och utan användargränssnitt.
BLANKSAPWD Denna parameter Innebär att sa-lösenordet för SQL-autentisering är tomt. Om du anger den här parametern på datorer med Windows NT eller Windows 2000, åsidosätts standardinloggningen för Windows-autentisering och ett försök görs till inloggning med ett tomt sa-lösenord. Det korrekta formatet för parametern är BLANKSAPWD=1. Parametern är endast godkänd för obevakade installationer.
SAPWDIcke-tomt sa-lösenord. Om du anger denna parameter måste det vara i form av SAPWD=dittsalösenord. Den här parametern har företräde framför standard-Windows-autentisering på datorer med Windows NT eller Windows 2000, eller BLANKSAPWD, om det har angetts.
Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
330391 Installationsprogram för SQL Server-snabbkorrigering (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Krav på omstart

Du behöver inte starta om datorn när du har installerat den här säkerhetskorrigeringen om du inte uppmanas till det av installationsprogrammet för säkerhetskorrigeringen.

Information om borttagning

Det går inte att ta bort den här säkerhetskorrigeringen om du inte säkerhetskopierade vissa kataloger innan du installerade säkerhetskorrigeringen. Mer information finns i "How to Remove or Rollback the Hotfix" i följande artikel i Microsoft Knowledge Base:
330391 Installationsprogram för SQL Server-snabbkorrigering (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Ersättningsinformation

Säkerhetskorrigeringen ersätter alla tidigare säkerhetskorrigeringar som dokumenteras i följande artikel i Microsoft Knowledge Base, däribland säkerhetskorrigeringen för Microsoft-säkerhetsbulletinen MS02-061 för SQL Server 7.0:
327068 Säkerhetsuppdatering för SQL Server 7.0 Service Pack 4 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Filinformation

Den engelska versionen av det här paketet har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.
   Datum         Tid   Version         Storlek             Filnamn
   -----------------------------------------------------------------------
   04-okt-2002  23:59  2000.34.4.0        28 944 byte  Dbmssocn.dll     
   06-sep-2002  23:55  2000.33.6.0        53 520 byte  Distrib.exe      
   06-sep-2002  23:55  2000.33.6.0        98 576 byte  Logread.exe      
   05-maj-2003  18:34                     54 904 byte  Opends60.dbg
   05-maj-2003  18:34  2000.41.2.0       155 920 byte  Opends60.dll     
   05-maj-2003  18:34                    132 096 byte  Opends60.pdb
   06-sep-2002  23:56  2000.33.6.0       250 128 byte  Rdistcom.dll     
   06-sep-2002  23:55  2000.33.6.0        82 192 byte  Replmerg.exe     
   06-sep-2002  23:56  2000.33.6.0        78 096 byte  Replres.dll      
   17-sep-2002  22:52                      7 941 byte  Securityhotfix.sql
   06-sep-2002  23:56  2000.33.6.0       160 016 byte  Snapshot.exe     
   30-maj-2003  04:21                     59 214 byte  Sp4_serv_uni.sql
   15-jan-2003  01:33  2000.37.13.0      344 064 byte  Sqlagent.exe     
   06-sep-2002  23:55  2000.33.6.0        45 056 byte  Sqlcmdss.dll     
   16-maj-2003  00:18  2000.41.14.0    2 629 632 byte  Sqldmo.dll       
   16-maj-2003  13:29  2000.41.14.0       81 920 byte  Sqlmap70.dll     
   29-maj-2003  23:11                  4 370 404 byte  Sqlservr.dbg
   30-maj-2003  02:44  2000.41.28.0    5 062 928 byte  Sqlservr.exe     
   29-maj-2003  23:11                  3 589 120 byte  Sqlservr.pdb
   04-okt-2002  23:59  2000.34.4.0        45 328 byte  Ssmsso70.dll     
   16-maj-2003  00:18  2000.41.14.0       24 848 byte  Ssnmpn70.dll     
   26-sep-2002  20:30                     28 408 byte  Ums.dbg
   26-sep-2002  20:27  2000.33.25.0       57 616 byte  Ums.dll          
   26-sep-2002  20:29                     99 328 byte  Ums.pdb
   16-maj-2003  13:31  2000.41.14.0      151 552 byte  Xpweb70.dll

Verifiering

Använd följande artikel i Microsoft Knowledge Base för att fastställa vilken version av SQL Server som används:
321185 Identifiera version och utgåva för SQL Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)
När du har installerat den här säkerhetskorrigeringen ska "7.00.1094" returneras när du kör någon av följande SELECT-satser:
SELECT serverproperty('produktversion')  
SELECT @@Version

Referenser

Mer information om den här säkerhetskorrigeringen finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Egenskaper

Artikel-id: 821279 - Senaste granskning: den 27 februari 2014 - Revision: 7.1
Informationen i denna artikel gäller:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Nyckelord: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com