Makale numarası: 821279 - Son Gözden Geçirme: 04 Temmuz 2006 Salı - Gözden geçirme: 7.1

MS03-031: SQL Server 7.0 Service Pack 4 için güvenlik düzeltme eki

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

™zet

Bu Microsoft Bilgi Bankası makalesinde, SQL Server 7.0 Service Pack 4 (SP4) ve Microsoft Data Engine 1.0 SP4 güvenlik düzeltme ekinin yayımlanması ile ilgili bilgiler bulunmaktadır. Bu güvenlik düzeltme eki, SQL Server 7.0 için Microsoft Güvenlik Bülteni MS02-061 de dahil olmak üzere, aşağıdaki Microsoft Bilgi Bankası makalesinde belgelenen tüm önceki güvenlik düzeltme eklerinin yerini almaktadır:
327068  (http://support.microsoft.com/kb/327068/ ) Service Pack 4 için SQL Server 7.0 güvenlik güncelleştirmesi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Önemli notlar

Bu paket, Microsoft Data Access Components (MDAC) ve Analiz Hizmetleri'ndeki güvenlik düzeltmelerini içermez.

Bu güvenlik düzeltme eki, aşağıdaki güvenlik açıklarını giderir:
  • Adlandırılmış yöneltme ele geçirme
    SQL Server başladığında, sunucuya gelen bağlantılar için belirli bir adlandırılmış yöneltme oluşturur ve bunu dinler. Adlandırılmış yöneltme, bir yöneltme sunucusu ile bir veya daha fazla yöneltme istemcisi arasındaki iletişim için özel olarak adlandırılmış tek yönlü veya iki yönlü bir kanaldır. SQL Server, sunucuda depolanan verilerde sorgu çalıştırabilmek üzere bağlantıların SQL Server çalıştıran sisteme oturum açabildiğini doğrulamak için adlandırılmış yöneltmeleri denetler.

    Adlandırılmış yöneltmeleri denetleme yönteminde, SQL Server çalıştıran sistemde yerel olan saldırganın başka bir kullanıcı oturum açmak için kimlik doğrulaması uygulanmış parola kullanırken adlandırılmış yöneltmeyi ele geçirmesine (denetimi ele almasına) olanak tanıyabilecek bir hata vardır. Bu, saldırganın, bağlanmaya çalışan kullanıcıyla aynı izin düzeyinde adlandırılmış yöneltmenin denetimini ele geçirmesine olanak tanıyabilir. Uzaktan bağlanmaya çalışan kullanıcı saldırgandan daha yüksek izin düzeyine sahipse, adlandırılmış yöneltme güvenliği aşıldığında saldırgan bu hakları alır.
  • Adlandırılmış yöneltme hizmet reddi
    Bu bültenin "Adlandırılmış Yöneltmeyi Ele Geçirme" bölümünde anlatılan adlandırılmış yöneltme senaryosunda, intranette yerel olarak kimliği doğrulanmış bir kullanıcı SQL Server çalıştıran sistemin dinlediği belirli bir adlandırılmış yöneltmeye çok büyük boyutta bir paket gönderebilir ve sistemin yanıt veremez duruma gelmesine neden olabilir.

    Bu güvenlik açığı, saldırganın dilediği kodu çalıştırmasına veya izin düzeyini değiştirmesine izin vermez; ancak, işlevselliği yeniden sağlayabilmesi için sunucunun yeniden başlatılmasını gerektirebilecek bir hizmet reddi koşulu yine de oluşabilir.
  • SQL Server Arabellek Taşması
    Belirli bir Windows işlevinde, SQL Server çalıştıran sisteme oturum açma için doğrudan erişimi olan kimliği doğrulanmış kullanıcının sistemin dinleyen yerel yordam çağrısı (LPC) bağlantı noktasına gönderildiğinde arabellek taşmasına neden olabilecek özel olarak biçimlendirilmiş paket oluşturma yeteneği sağlayabilecek bir hata var. Bu açık başarıyla kullanılırsa, sistemde sınırlı izinleri olan bir kullanıcının izinlerini SQL Server hizmet hesabı izin düzeyine yükseltmesine veya rasgele kod çalıştırmasına olanak tanıyabilir.
Üste

Daha fazla bilgi

Önemli notlar

Bu güvenlik düzeltme ekini SQL Server 7.0 SP4 çalışan Microsoft Windows NT 4.0 tabanlı bir bilgisayara yükleme hakkında aşağıdaki önemli notları okuyun.

Microsoft Windows NT 4.0 tabanlı bir bilgisayara adlandırılmış yöneltme kullanarak bağlandığınızda hata iletisi oluşuyor

SQL Server 7.0 çalışan Windows NT 4.0 tabanlı bir bilgisayara adlandırılmış yöneltmeler kullanarak bağlandığınızda ve bu bağlantı yönetici olmayan bir kullanıcı tarafından yapılırsa, aşağıdakilerden birine benzer bir hata iletisi alabilirsiniz:
İleti 1
Bağlantı kurulamadı. SQL Server yok
İleti 2
Bağlantı kurulamadı. Erişim reddedildi.
Bu hata iletisini gidermek üzere bir düzeltme edinmek için Microsoft Bilgi Bankası'nda bulunan aşağıdaki makaleye bakın:
823492  (http://support.microsoft.com/kb/823492/ ) SQL Server 2000 veya SQL Server 7.0 çalışan Microsoft Windows NT 4.0 tabanlı bilgisayara bağlanırken "Bağlantı kurulamadı" hata iletisi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Önkoşullar

Bu güvenlik düzeltme eki SQL Server 7.0 SP4 gerektirir.

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
301511  (http://support.microsoft.com/kb/301511/ ) En son SQL Server 7.0 hizmet paketi nasıl elde edilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Kümelendirilmiş SQL Server 7.0 yüklemelerinde, öncelikle her sanal SQL Server'ın birincil küme düğümünden SQL Server Failover Wizard'ı çalıştırarak SQL Server kümelendirmesini kaldırmalısınız.
Aktif/Aktif
Aktif/Aktif bir yükleme için şu adımları izleyin:
  1. SQL Server 7.0'ın asıl yüklenmiş olduğu bilgisayar düğümünün her iki SQL Server kaynak grubunu da denetlediğinden emin olun.
  2. Kümenin her iki düğümünde de, Failover Setup Wizard hizmet programını çalıştırıp sanal SQL Server'ı kaldırın.
  3. SQL Server kümelendirmesini kaldırdıktan sonra, düzeltme yürütülebilir dosyasını her iki düğümde birden çalıştırmalı ve SQL Server kümelendirmesini yeniden yapmadan önce düzeltme yüklemesini başarıyla tamamlamalısınız.
Aktif/Pasif
Aktif/Pasif bir yükleme için şu adımları izleyin:
  1. SQL Server 7.0'ın ilk yüklendiği bilgisayar düğümünün SQL Server kaynaklarını denetlediğinden emin olun.
  2. Aynı bilgisayar düğümünde, Failover Setup Wizard yardımcı programını çalıştırıp sanal SQL Server'ı kaldırın.
  3. SQL Server kümelendirmesini kaldırdıktan sonra, düzeltme yürütülebilir dosyasını yalnızca birincil düğümde çalıştırmalı ve SQL Server kümelendirmesini yeniden yapmadan önce düzeltme yüklemesini başarıyla tamamlamalısınız.
Üste

Karşıdan yükleme bilgileri

Aşağıdaki dosya Microsoft Yükleme Merkezi'nden yüklenebilir:
Bu resmi kapatBu resmi aç
Karşıdan Yükle
SQL Server 7.0 güvenlik düzeltme eki MS03-031 paketini şimdi karşıdan yükle. (http://www.microsoft.com/downloads/details.aspx?FamilyId=FE5B0892-A5C9-44C2-9B42-0D291E9C1636)
Yayın Tarihi: 23 Temmuz 2003

Microsoft Destek dosyalarını karşıdan yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591  (http://support.microsoft.com/kb/119591/ ) Microsoft Destek Dosyaları Çevrimiçi Hizmetler'den Nasıl Alınır
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır.

Yükleme bilgileri

Bu güvenlik düzeltme eki aşağıdaki Kurulum anahtarlarını destekler.
Bu tabloyu kapaBu tabloyu aç
AnahtarAçıklaması
/sKendi Kendini Ayıklama ilerleme durumu iletişim kutusunu devre dışı bırakır. /a anahtarından önce gelmelidir.
/aDüzeltmeyi kendi kendine ayıklanan EXE dosyasını kullanarak çalıştırıyor ve katılımsız yüklemeyle ilgili parametreleri kullanmak istiyorsanız, bu parametre /s dışındaki tüm parametrelerden önce gelmelidir. Bu, yükleyicinin katılımsız modda çalışması için zorunlu bir parametredir.
/qBu anahtar, Kur programının kullanıcı katılımı olmadan sessiz modda çalışmasına neden olur.
BLANKSAPWDBu parametre, SQL Kimlik Doğrulaması için sa parolasının boş olduğu anlamına gelir. Bu parametreyi Windows NT veya Windows 2000 çalıştıran bilgisayarlara girerseniz, varsayılan Windows Kimlik Doğrulaması oturum açma bilgileri geçersiz kılınır ve boş bir sa parolasıyla oturum açılmaya çalışılır. Bu parametre için doğru biçim şudur: BLANKSAPWD=1. Bu parametre, yalnızca katılımsız yüklemeler için kabul edilir.
SAPWDBoş olmayan sa parolası. Bu parametreyi girerseniz, SAPWD=saparolanız biçiminde olmalıdır. Bu parametre, Windows NT veya Windows 2000 çalıştıran bilgisayarlarda varsayılan Windows Kimlik Doğrulaması'nı veya girilmişse BLANKSAPWD değerini geçersiz kılar.
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
330391  (http://support.microsoft.com/kb/330391/ ) SQL Server düzeltme yükleyicisi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Yeniden başlatma gereksinimi

Bu güvenlik düzeltme ekini uyguladıktan sonra, düzeltme yükleyicisi istemedikçe bilgisayarınızı yeniden başlatmanız gerekmez.

Kaldırma bilgileri

Güvenlik düzeltme eki yüklenmeden önce belirli kataloglar yedeklenmemişse, bu düzeltme ekinin kaldırılması desteklenmez. Daha fazla bilgi için, aşağıdaki Microsoft Bilgi Bankası makalesinin "Düzeltme Nasıl Kaldırılır veya Geri Alınır" bölümüne bakın:
330391  (http://support.microsoft.com/kb/330391/ ) SQL Server düzeltme yükleyicisi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Güvenlik düzeltme eki değiştirme bilgileri

Bu güvenlik düzeltme eki, SQL Server 7.0 için Microsoft Güvenlik Bülteni MS02-061 de dahil olmak üzere, aşağıdaki Microsoft Bilgi Bankası makalesinde belgelenen önceki tüm güvenlik düzeltme eklerinin yerini almaktadır:
327068  (http://support.microsoft.com/kb/327068/ ) Service Pack 4 için SQL Server 7.0 güvenlik güncelleştirmesi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

Dosya bilgileri

Bu paketin İngilizce sürümü, aşağıdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya öznitelikleri) sahiptir. Bu dosyalarla ilgili tarihler ve saatler UTC (eşgüdümlü evrensel saat) kullanılarak listelenmiştir. Dosya bilgilerini görüntülediğinizde yerel saate dönüştürülür. UTC ve yerel saat arasındaki farkı bulmak için, Denetim Masası'ndaki Tarih ve Saat öğesinde Saat Dilimi sekmesini kullanın.
   Tarih        Saat   Sürüm           Boyut           Dosya adı
   -----------------------------------------------------------------------
   04 Eki 2002  23:59  2000.34.4.0        28.944 bayt  Dbmssocn.dll     
   06 Eyl 2002  23:55  2000.33.6.0        53.520 bayt  Distrib.exe      
   06 Eyl 2002  23:55  2000.33.6.0        98.576 bayt  Logread.exe      
   05 May 2003  18:34                     54.904 bayt  Opends60.dbg
   05 May 2003  18:34  2000.41.2.0       155.920 bayt  Opends60.dll     
   05 May 2003  18:34                    132.096 bayt  Opends60.pdb
   06 Eyl 2002  23:56  2000.33.6.0       250.128 bayt  Rdistcom.dll     
   06 Eyl 2002  23:55  2000.33.6.0        82.192 bayt  Replmerg.exe     
   06 Eyl 2002  23:56  2000.33.6.0        78.096 bayt  Replres.dll      
   17 Eyl 2002  22:52                      7.941 bayt  Securityhotfix.sql
   06 Eyl 2002  23:56  2000.33.6.0       160.016 bayt  Snapshot.exe     
   30 May 2003  04:21                     59.214 bayt  Sp4_serv_uni.sql
   15 Oca 2003  01:33  2000.37.13.0      344.064 bayt  Sqlagent.exe     
   06 Eyl 2002  23:55  2000.33.6.0        45.056 bayt  Sqlcmdss.dll     
   16 May 2003  00:18  2000.41.14.0    2.629.632 bayt  Sqldmo.dll       
   16 May 2003  13:29  2000.41.14.0       81.920 bayt  Sqlmap70.dll     
   29 May 2003  23:11                  4.370.404 bayt  Sqlservr.dbg
   30 May 2003  02:44  2000.41.28.0    5.062.928 bayt  Sqlservr.exe     
   29 May 2003  23:11                  3.589.120 bayt  Sqlservr.pdb
   04 Eki 2002  23:59  2000.34.4.0        45.328 bayt  Ssmsso70.dll     
   16 May 2003  00:18  2000.41.14.0       24.848 bayt  Ssnmpn70.dll     
   26 Eyl 2002  20:30                     28.408 bayt  Ums.dbg
   26 Eyl 2002  20:27  2000.33.25.0       57.616 bayt  Ums.dll          
   26 Eyl 2002  20:29                     99.328 bayt  Ums.pdb
   16 May 2003  13:31  2000.41.14.0      151.552 bayt  Xpweb70.dll

Doğrulama

Çalıştırdığınız SQL Server sürümünü belirlemek için, aşağıdaki Microsoft Bilgi Bankası makalesinde bulunan bilgileri kullanın:
321185  (http://support.microsoft.com/kb/321185/ ) SQL Server sürümünüz nasıl tanımlanır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Bu güvenlik düzeltme eki uygulandıktan sonra, aşağıdaki SELECT bildirimlerinden biri çalıştırıldığında "7.00.1094" döndürülmelidir:
SELECT serverproperty('productversion')
SELECT @@Version
Üste

Referanslar

Bu güvenlik düzeltme eki hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx (http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx)
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Üste
Anahtar Kelimeler: 
atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Üste