MS03-031: Patch di protezione per SQL Server 2000 64 bit

Traduzione articoli Traduzione articoli
Identificativo articolo: 821280 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Di seguito Ŕ riportato un elenco dei problemi di vulnerabilitÓ risolti con questa patch di protezione:
  • Acquisizione del controllo della named pipe
    All'avvio di SQL Server viene creata una specifica named pipe analizzata in seguito dal programma per rilevare le connessioni in ingresso sul server. La named pipe Ŕ un canale unidirezionale o bidirezionale con un nome specifico per la comunicazione tra un server pipe e uno o pi¨ client pipe. Tale named pipe viene verificata per stabilire con quali connessioni Ŕ possibile effettuare l'accesso al sistema su cui viene eseguito SQL Server ed eseguire query sui dati memorizzati sul server.

    ╚ tuttavia presente un difetto nel metodo di controllo della named pipe che potrebbe consentire a un utente malintenzionato interno al sistema su cui viene eseguito SQL Server di acquisire il controllo della named pipe nel momento in cui da un altro client viene effettuato l'accesso con password di autenticazione. In questo modo l'utente malintenzionato potrebbe acquisire il controllo della named pipe con lo stesso livello di autorizzazioni dell'utente che tenta di effettuare la connessione. Se l'utente che tenta di effettuare la connessione remota dispone di autorizzazioni di livello superiore rispetto a quelle dell'utente malintenzionato, quest'ultimo acquisirÓ tali diritti nel momento in cui la named pipe viene compromessa.
  • Attacco di tipo Denial of Service alla named pipe
    Nello stesso scenario di named pipe illustrato precedentemente nella sezione "Acquisizione del controllo della named pipe", un utente non autenticato della rete locale Intranet potrebbe riuscire a inviare un pacchetto di grandi dimensioni a una determinata named pipe analizzata dal sistema su cui Ŕ in esecuzione SQL Server, causandone il blocco.

    Questa vulnerabilitÓ non consente all'utente malintenzionato di eseguire codice arbitrario o elevare il livello delle proprie autorizzazioni. Si pu˛ tuttavia verificare una condizione di Denial of Service in seguito alla quale sarÓ necessario il riavvio del server per ripristinarne le funzionalitÓ.
  • Sovraccarico del buffer di SQL Server
    In una specifica funzione di Windows Ŕ presente un difetto che potrebbe consentire a un utente autenticato con accesso diretto al sistema su cui viene eseguito SQL Server di creare un pacchetto appositamente formulato che pu˛ causare un sovraccarico del buffer nel momento in cui viene inviato alla porta LPC (Local Procedure Call) di attesa del sistema. Se sfruttata, questa vulnerabilitÓ pu˛ permettere a un utente con autorizzazioni limitate nel sistema di elevare il livello delle proprie autorizzazioni a quello dell'account dei servizi di SQL Server oppure pu˛ causare l'esecuzione di codice arbitrario.
Per ulteriori informazioni sul service pack pi¨ aggiornato per Microsoft SQL Server 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290211 Come ottenere il service pack pi¨ recente per SQL Server 2000

Informazioni

Informazioni sul download


Il seguente file Ŕ disponibile per il download dall'Area download Microsoft (informazioni in lingua inglese):
Patch di protezione MS03-031 per SQL Server 2000 (64 bit)

Data di rilascio: 23 luglio 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Questa patch richiede SQL Server 2000 a 64 bit.

Informazioni sull'installazione

Questa patch supporta i seguenti parametri di installazione:
Riduci questa tabellaEspandi questa tabella
ParametroDescrizione
/sConsente di disattivare la finestra di dialogo dell'estrazione automatica. Deve essere specificato prima del parametro /a.
/aQuesto parametro deve essere specificato prima di tutti gli altri parametri a eccezione di /s se l'aggiornamento rapido viene eseguito utilizzando il file EXE autoestraente e si desidera includere i parametri per l'installazione automatica. Si tratta di un parametro obbligatorio per l'installazione automatica.
/qCon questo parametro il programma di installazione verrÓ eseguito in modalitÓ non interattiva senza interfaccia utente.
INSTANCENAMENome dell'istanza di SQL Server. Deve essere immesso come indicato di seguito:

INSTANCENAME=nomeistanzautente
BLANKSAPWDConsente di impostare una password sa vuota per l'autenticazione SQL. Se viene immesso questo parametro su un computer con Microsoft Windows NT o Microsoft Windows 2000, l'accesso predefinito con l'autenticazione di Windows verrÓ ignorato e verrÓ tentato l'accesso con una password sa vuota. Il formato corretto del parametro Ŕ BLANKSAPWD=1.
Questo parametro viene riconosciuto solo per le installazioni automatiche.
SAPWDPassword sa non vuota. Questo parametro deve essere specificato nel formato SAPWD=passwordsa. Il parametro consente di ignorare l'autenticazione predefinita di Windows su un computer con Windows NT o Windows 2000 oppure se viene specificato BLANKSAPWD.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
330391 INF: Programma di installazione dell'aggiornamento rapido (hotfix) di SQL Server

Richiesta di riavvio

Se non viene richiesto, non Ŕ necessario riavviare il computer dopo l'installazione della patch di protezione.

Informazioni sulla rimozione

La rimozione della patch non Ŕ supportata se non Ŕ stato eseguito il backup di determinati cataloghi prima dell'installazione della patch di protezione. Per ulteriori informazioni, vedere la sezione relativa alla rimozione o al ripristino dello stato precedente dell'aggiornamento rapido nel seguente articolo della Microsoft Knowledge Base:
330391 INF: Programma di installazione dell'aggiornamento rapido (hotfix) di SQL Server

Informazioni sulla sostituzione della patch

Questa patch non sostituisce eventuali altre patch di protezione per SQL Server 2000 a 64 bit.

Informazioni sui file

La versione in lingua inglese di questa patch presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data        Ora    Versione            Dimensione  Nome file
   ---------------------------------------------------------------------------
   25/06/2003  01.13  2000.80.818.0      56.832 byte  Dbmslpcn.dll     IA64
   25/06/2003  01.12                    159.744 byte  Dbmslpcn.pdb
   08/02/2003  05.43                    786.432 byte  Distmdl.ldf
   08/02/2003  05.43                  2.359.296 byte  Distmdl.mdf
   30/01/2003  01.55                        180 byte  Drop_repl_hotfix.sql
   30/01/2003  05.18                    746.470 byte  Instdist.sql
   03/05/2003  01.56                      1.581 byte  Inst_repl_hotfix.sql
   31/03/2003  21.27  2000.80.765.0     185.856 byte  Msgprox.dll      IA64
   16/07/2003  18.55  2000.80.818.0     150.528 byte  Odsole70.dll     IA64
   16/07/2003  19.27  2000.80.818.0     149.504 byte  Osql.exe         IA64
   08/02/2003  03.53                  1.065.895 byte  Replmerg.sql
   31/03/2003  21.27  2000.80.765.0     533.504 byte  Replprov.dll     IA64
   31/03/2003  21.27  2000.80.765.0     767.488 byte  Replrec.dll      IA64
   05/05/2003  00.05                  1.085.874 byte  Replsys.sql
   29/05/2003  00.29                    115.944 byte  Sp3_serv_uni.sql
   01/06/2003  22.18  2000.80.818.0  13.845.504 byte  Sqldmo.dll       IA64
   16/07/2003  19.13                     39.936 byte  Sqldumper.exe    IA64
   31/03/2003  21.24  2000.80.789.0      19.968 byte  Sqlevn70.rll
   31/03/2003  21.27  2000.80.778.0      23.040 byte  Sqlmap70.dll     IA64
   31/03/2003  21.27  2000.80.765.0     152.064 byte  Sqlrepss.dll     IA64
   02/06/2003  20.37  2000.80.818.0  24.750.592 byte  Sqlservr.exe     IA64
   02/06/2003  20.26                 20.859.904 byte  Sqlservr.pdb
   31/03/2003  21.27  2000.80.765.0     120.320 byte  Sqlvdi.dll       IA64
   25/06/2003  01.13  2000.80.818.0      53.760 byte  Ssmslpcn.dll     IA64
   25/06/2003  01.12                    159.744 byte  Ssmslpcn.pdb
   01/06/2003  21.51  2000.80.818.0     254.976 byte  Ssnetlib.dll     IA64
   01/06/2003  21.51                    339.968 byte  Ssnetlib.pdb
   02/06/2003  00.41  2000.80.818.0      20.992 byte  Ssnmpn70.dll     IA64
   02/06/2003  00.40                    135.168 byte  Ssnmpn70.pdb
   01/06/2003  21.48  2000.80.818.0     430.080 byte  Svrnetcn.dll     IA64
   01/06/2003  21.48  2000.80.818.0     185.856 byte  Svrnetcn.exe     IA64
   01/06/2003  21.46                    495.616 byte  Svrnetcn.pdb
   31/03/2003  21.27  2000.80.778.0     186.368 byte  Xpweb70.dll      IA64
				

Verifica

Per determinare la versione di SQL Server in esecuzione, utilizzare le informazioni contenute nell'articolo della Microsoft Knowledge Base riportato di seguito:
321185 HOW TO: Identificare versione ed edizione del service pack di SQL Server

Dopo l'installazione della patch di protezione, digitando
SELECT serverproperty('productversion') 
Oppure
SELECT @@Version

dovrÓ essere restituito il seguente risultato:

8.00.0818

Riferimenti

Per ulteriori informazioni su questa patch di protezione, vedere il seguente Bollettino Microsoft sulla sicurezza:
Bollettino Microsoft sulla sicurezza MS03-031

ProprietÓ

Identificativo articolo: 821280 - Ultima modifica: lunedý 23 gennaio 2006 - Revisione: 5.3
Le informazioni in questo articolo si applicano a:
  • Microsoft SQL Server 2000 64-bit Edition
Chiavi:á
atdownload kbqfe kbfix kbbug kbsqlserv2000presp4fix KB821280
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com