MS03-031:SQL Server 7.0 Service Pack 4 的安全修补程序

文章翻译 文章翻译
文章编号: 821279 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

概要

此 Microsoft 知识库文章介绍 SQL Server 7.0 Service Pack 4 (SP4) 和 Microsoft Data Engine 1.0 SP4 安全修补程序的发布。此安全修补程序将取代以下 Microsoft 知识库文章中介绍的所有以前的安全修补程序,包括 Microsoft 安全公告 MS02-061 中介绍的 SQL Server 7.0 的安全修补程序:
327068 INF:SQL Server 7.0 Service Pack 4 的安全更新程序

重要说明

此程序包不包含 Microsoft 数据访问组件 (MDAC) 和 SQL Server Analysis Services 中的安全修补程序。

此安全修补程序可用于修补下列漏洞:
  • 命名管道窃用
    当 SQL Server 启动时,它将创建然后侦听特定的命名管道,以检查是否有到达服务器的传入连接。命名管道是一种经特殊命名的单向或双向通道,用于在管道服务器与一个或多个管道客户端之间进行通讯。SQL Server 对命名管道进行检查,以验证哪些连接可以登录正在运行 SQL Server 的系统以对该服务器上存储的数据执行查询。

    命名管道的检查方法中存在一个缺陷,在其他客户端使用经过验证的登录密码登录时,作为正在运行 SQL Server 的系统的本地用户的攻击者能够利用该缺陷窃用(控制)该命名管道。这将使攻击者可以在与正在尝试连接的用户相同的权限级别上控制命名管道。如果正在尝试远程连接的用户具有比该攻击者更高的权限级别,则在命名管道的安全受到破坏时,该攻击者将侵占这些权限。
  • 命名管道拒绝服务
    在本公告的“命名管道窃用”部分中提到的相同命名管道情形中,未经身份验证的 Intranet 本地用户可能向运行 SQL Server 的计算机正在侦听的特定命名管道发送一个超大型数据包,从而使该命名管道停止响应。

    此漏洞不会允许攻击者运行任意代码或提升他们的权限;但是,仍可能存在发生拒绝服务的情况,从而需要您重新启动服务器以恢复功能。
  • SQL Server 缓冲区溢出
    在特定的 Windows 函数中存在一个缺陷,该缺陷使可直接登录运行 SQL Server 的系统的经过身份验证的用户能够创建专门制作的数据包,该数据包在被发送到系统负责侦听的本地过程调用 (LPC) 端口时,可能导致缓冲区溢出。如果该漏洞被成功利用,则可能允许在系统中具有有限权限的用户将其权限提升至 SQL Server 服务帐户的级别,或使任意代码得以执行。

更多信息

重要说明

请阅读下面关于在运行 SQL Server 7.0 SP4 的计算机上安装此安全修补程序的重要说明。

使用命名管道连接到基于 Microsoft Windows NT 4.0 的计算机时出现错误消息

当您使用命名管道连接到基于 Windows NT 4.0 且正在运行 SQL Server 7.0 的计算机时,如果该连接是由非管理员用户建立的,则您可能收到与下列某条消息类似的错误消息:
消息 1
Connection could not be established.SQL Server does not exist
消息 2
Connection could not be established.Access is denied.
要获取能够排除此错误消息的修补程序,请参见下面的 Microsoft 知识库文章:
823492 当连接到正在运行 SQL Server 2000 或 SQL Server 7.0 的基于 Windows NT 4.0 的计算机时出现“Connection could not be established”(无法建立连接)错误消息

先决条件

此安全修补程序需要 SQL Server 7.0 SP4。

有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
301511 如何获取最新的 SQL Server 7.0 Service Pack
对于群集 SQL Server 7.0 安装,您必须通过从每个虚拟 SQL Server 的主群集节点运行“SQL Server 故障转移向导”以使 SQL Server 撤出群集。

主动/主动


按照下列步骤执行“主动/主动”安装:
  1. 确保最初安装 SQL Server 7.0 的计算机节点控制双方 SQL Server 资源组。
  2. 在群集的每一个节点上,运行“故障转移安装向导”实用工具以删除虚拟 SQL Server。
  3. 在 SQL Server 撤出群集之后,必须在双方节点上运行此修补程序的可执行文件,并在 SQL Server 返回群集之前成功完成修补程序安装。
主动/被动


按照下列步骤执行“主动/被动”安装:
  1. 确保最初安装 SQL Server 7.0 的计算机节点控制 SQL Server 资源。
  2. 在此同一计算机节点上,运行“故障转移安装向导”实用工具以删除虚拟 SQL Server。
  3. 在 SQL Server 撤出群集之后,必须仅在主节点上运行此修补程序的可执行文件,并在 SQL Server 返回群集之前成功完成修补程序安装。

下载信息

可以从 Microsoft 下载中心下载以下文件:
收起这个图片展开这个图片
下载
立即下载 SQL Server 7.0 安全修补程序 MS03-031 包。
发布日期:2003 年 7 月 23 日

有关如何下载 Microsoft 支持文件的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

此安全修补程序支持以下安装开关:
收起该表格展开该表格
开关说明
/s禁用“自解压缩”进度对话框。必须用在 /a 开关前面。
/a如果您正在通过自解压缩 EXE 运行修补程序,并且想包括用于无值守安装的参数,必须将该参数放在除 /s 以外的所有其他参数的前面。若想让安装程序在无值守模式下运行,这是个必选参数。
/q此开关将使安装程序在安静模式下运行,且不出现用户界面。
BLANKSAPWD此参数表示用于 SQL 身份验证的 sa 密码为空密码。如果您在运行 Windows NT 或 Windows 2000 的计算机上输入此参数,则会绕过默认的 Windows 身份验证登录而尝试使用空 sa 密码登录。此参数的正确格式是 BLANKSAPWD=1。只有无值守安装模式识别此参数。
SAPWD非空 sa 密码。如果您输入此参数,必须使用 SAPWD=yoursapassword 格式。此参数将覆盖运行 Windows NT 或 Windows 2000 的计算机上的默认 Windows 身份验证,或者覆盖 BLANKSAPWD(如果已输入)。
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
330391 SQL Server 修补程序安装程序

重新启动要求

应用这个安全修补程序后,除非安装程序提示您重新启动,否则无需重新启动计算机。

删除信息

除非在安装此安全修补程序之前备份了某些目录,否则不支持删除此安全修补程序。有关更多信息,请参阅以下 Microsoft 知识库文章中的“How to Remove or Rollback the Hotfix”(如何删除或回滚修补程序)部分:
330391 SQL Server 修补程序安装程序

安全修补程序代替信息

此安全修补程序将取代以下 Microsoft 知识库文章中介绍的所有以前的安全修补程序,包括 Microsoft 安全公告 MS02-061 中介绍的 SQL Server 7.0 的安全修补程序:
327068 INF:SQL Server 7.0 Service Pack 4 的安全更新程序

文件信息

此软件包的英语版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。
日期           时间    版本                  大小            文件名
-----------------------------------------------------------------------
04-Oct-2002  23:59  2000.34.4.0        28,944 bytes  Dbmssocn.dll
06-Sep-2002  23:55  2000.33.6.0        53,520 bytes  Distrib.exe
06-Sep-2002  23:55  2000.33.6.0        98,576 bytes  Logread.exe
05-May-2003  18:34                     54,904 bytes  Opends60.dbg
05-May-2003  18:34  2000.41.2.0       155,920 bytes  Opends60.dll
05-May-2003  18:34                    132,096 bytes  Opends60.pdb
06-Sep-2002  23:56  2000.33.6.0       250,128 bytes  Rdistcom.dll
06-Sep-2002  23:55  2000.33.6.0        82,192 bytes  Replmerg.exe
06-Sep-2002  23:56  2000.33.6.0        78,096 bytes  Replres.dll
17-Sep-2002  22:52                      7,941 bytes  Securityhotfix.sql
06-Sep-2002  23:56  2000.33.6.0       160,016 bytes  Snapshot.exe
30-May-2003  04:21                     59,214 bytes  Sp4_serv_uni.sql
15-Jan-2003  01:33  2000.37.13.0      344,064 bytes  Sqlagent.exe
06-Sep-2002  23:55  2000.33.6.0        45,056 bytes  Sqlcmdss.dll
16-May-2003  00:18  2000.41.14.0    2,629,632 bytes  Sqldmo.dll
16-May-2003  13:29  2000.41.14.0       81,920 bytes  Sqlmap70.dll
29-May-2003  23:11                  4,370,404 bytes  Sqlservr.dbg
30-May-2003  02:44  2000.41.28.0    5,062,928 bytes  Sqlservr.exe
29-May-2003  23:11                  3,589,120 bytes  Sqlservr.pdb
04-Oct-2002  23:59  2000.34.4.0        45,328 bytes  Ssmsso70.dll
16-May-2003  00:18  2000.41.14.0       24,848 bytes  Ssnmpn70.dll
26-Sep-2002  20:30                     28,408 bytes  Ums.dbg
26-Sep-2002  20:27  2000.33.25.0       57,616 bytes  Ums.dll
26-Sep-2002  20:29                     99,328 bytes  Ums.pdb
16-May-2003  13:31  2000.41.14.0      151,552 bytes  Xpweb70.dll

验证

要确定您正在运行的 SQL Server 的版本,请使用以下 Microsoft 知识库文章中的信息:
321185 如何识别 SQL Server 的版本
应用此安全修补程序后,在运行下列 SELECT 语句之一时,不应返回“7.00.1094”:
SELECT serverproperty('productversion') 
SELECT @@Version

参考

有关此安全修补程序的更多信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/security/Bulletins/MS03-031.asp

属性

文章编号: 821279 - 最后修改: 2014年2月27日 - 修订: 7.1
这篇文章中的信息适用于:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
关键字:?
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com