MS03-033 : Mise à jour de sécurité pour Microsoft Data Access Components

Traductions disponibles Traductions disponibles
Numéro d'article: 823718 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

MDAC est un ensemble de composants utilisés pour fournir une connectivité à des bases de données sur les systèmes d'exploitation Microsoft Windows. Cette technologie est largement répandue et présente sur la plupart des systèmes Windows.

Par défaut, MDAC est fourni avec Microsoft Windows XP, Microsoft Windows 2000 et Microsoft Windows Millennium Edition. Ces composants sont également fournis avec plusieurs autres produits et technologies. Par exemple, Microsoft Windows NT 4.0 Option Pack et Microsoft SQL Server 2000 contiennent tous deux MDAC, et certains composants MDAC sont présents dans Microsoft Internet Explorer même si la technologie MDAC en elle-même n'est pas installée. MDAC est également disponible en version autonome. Pour télécharger MDAC, reportez-vous au site Web de Microsoft (en anglais) à l'adresse suivante :
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
Les versions de MDAC antérieures à la version 2.8 contiennent un défaut qui provoque un problème de dépassement de capacité de la mémoire tampon. Les composants MDAC fournissent les fonctionnalités de base pour de nombreuses opérations de bases de données, telles que la connexion à des bases de données distantes et le renvoi de données à un client. Lorsqu'un ordinateur client sur un réseau tente d'afficher une liste d'ordinateurs qui exécutent Microsoft SQL Server et qui résident sur le réseau, il envoie une requête de diffusion à tous les périphériques qui se trouvent sur le réseau. En raison d'un défaut présent dans un composant MDAC spécifique, un agresseur peut répondre avec un paquet spécialement conçu qui entraîne un dépassement de la mémoire tampon. Le correctif de sécurité décrit dans cet article résout le problème de dépassement de capacité de la mémoire tampon.

Un agresseur qui parvient à exploiter cette faille peut accéder au système avec les mêmes droits d'utilisateur que l'application ayant initié la requête de diffusion mentionnée précédemment. L'agresseur peut alors créer, modifier ou supprimer des données sur le système, reconfigurer le système, reformater le disque dur ou encore exécuter des programmes de son choix.

Les facteurs atténuants sont les suivants :
  • Pour réussir une attaque, un agresseur doit simuler un ordinateur Microsoft SQL Server sur le même sous-réseau que le système cible.
  • Le code exécuté sur le système client ne s'exécute qu'avec les informations d'identification administratives de l'utilisateur ayant ouvert une session.
  • La version 2.8 de MDAC ne présente pas le problème résolu dans ce bulletin. Pour plus d'informations sur MDAC 2.8, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    820761 INFO : Liste des correctifs importants inclus dans MDAC 2.8

Plus d'informations

Informations sur le téléchargement

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package MS03-033 du correctif de sécurité pour Microsoft Data Access Components (MDAC) maintenant. Date de publication : 20 août 2003

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Remarque Ce correctif s'applique à toutes les langues.

Conditions préalables

Vous devez exécuter l'une des versions suivantes de MDAC :
  • Service Pack 2 MDAC 2.5
  • Service Pack 3 MDAC 2.5
  • Service Pack 2 MDAC 2.6
  • MDAC 2.7 RTM
  • Service Pack 1 MDAC 2.7
Les versions plus anciennes de MDAC sont vulnérables mais ne sont pas prises en charge. Pour appliquer ce correctif, vous devez effectuer une mise à niveau vers une version de MDAC répertoriée.

Vous pouvez déterminer la version de MDAC exécutée en vérifiant le Registre. Les informations sur la version se trouvent dans la clé suivante :
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Pour vérifier le Registre, procédez comme suit :
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Dans la zone de texte Ouvrir, tapez regedit, puis cliquez sur OK. Cela démarre l'Éditeur du Registre.
  3. Dans le volet de navigation, recherchez la clé suivante :
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. Dans le volet de détails, recherchez FullInstallVer et Version dans la colonne Nom. La colonne Données contient des informations de version correspondant à chacune de ces clés. Comparez ces informations à celles du tableau suivant.
  5. Une fois que vous avez terminé, cliquez sur Quitter dans le menu Registre pour fermer l'Éditeur du Registre.
Réduire ce tableauAgrandir ce tableau
Version de MDACFullInstallVer
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 avec le Service Pack 1 installé 2.51.xxxx.x
MDAC 2.5 avec le Service Pack 2 installé 2.52.xxxx.x
MDAC 2.5 avec le Service Pack 3 installé2.53.xxxx.x
MDAC 2.6 RTM 2.60.xxxx.x
MDAC 2.6 avec le Service Pack 1 installé 2.61.xxxx.x
MDAC 2.6 avec le Service Pack 2 installé2.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 avec le Service Pack 1 installé2.71.xxxx.x
MDAC 2.8 RTM 2.80.xxxx.x
Pour plus d'informations sur la façon de déterminer la version de MDAC, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
301202 Comment faire pour vérifier pour la version MDAC

Informations sur l'installation

Ce correctif de sécurité est installé par le biais d'un programme installateur.

Remarque Le programme d'installation est uniquement en anglais.

Options d'installation

Cette mise à jour prend en charge les commutateurs d'installation suivants :
Commutateur             Description
-------------------------------------------------------------------------
/?                      Affiche la liste des commutateurs d'installation
/Q                      Mode silencieux
/T:<chemin_intégral>    Spécifie un dossier de travail temporaire
/C                      Extrait les fichiers uniquement vers le dossier s'il est utilisé avec le commutateur /T
/C:<Cmd>                Ignore la commande d'installation définie par l'auteur
/N                      Aucune boîte de dialogue de redémarrage
				

Par exemple, la ligne de commande suivante installe la mise à jour sans intervention de la part de l'utilisateur et sans redémarrage de l'ordinateur :

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Le commutateur /q spécifié pour dahotfix.exe permet d'effectuer une installation silencieuse et le commutateur /n empêche le redémarrage de l'ordinateur.

Avertissement Votre ordinateur reste vulnérable tant que vous ne l'avez pas redémarré.

Nécessité d'un redémarrage

Vous devez redémarrer votre ordinateur après avoir appliqué cette mise à jour.

Informations sur la suppression

Après avoir installé ce correctif de sécurité, vous ne pouvez plus le supprimer.

Informations sur le remplacement de correctif de sécurité

Ce correctif de sécurité remplace celui fourni dans le Bulletin de sécurité Microsoft MS02-040. Pour plus d'informations sur le Bulletin de sécurité Microsoft MS02-040, reportez-vous au site Web de Microsoft (en anglais) à l'adresse suivante :
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx
Pour plus d'informations sur le Bulletin de sécurité Microsoft MS02-040, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
326573 MS02-040 : Mémoire tampon non contrôlée dans les mises à jour OpenRowset

Informations sur les fichiers

La version anglaise de ce correctif de sécurité dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.

Service Pack 2 MDAC 2.5

       Date  Heure   Version           Taille  Nom de fichier
   --------------------------------------------------------------
   23/07/03  20:56  3.520.6100.40     212 992  Odbc32.dll
   21/07/03  22:24  3.70.11.40         24 848  Odbcbcp.dll
   23/07/03  02:29  3.520.6100.40     102 672  Odbccp32.dll
   21/07/03  22:24  3.70.11.40        524 560  Sqlsrv32.dll
				

Service Pack 3 MDAC 2.5

       Date  Heure   Version           Taille  Nom de fichier
   --------------------------------------------------------------
   24/07/03  00:13  3.520.6300.40     212 992  Odbc32.dll
   21/07/03  22:24  3.70.11.40         24 848  Odbcbcp.dll
   24/07/03  00:11  3.520.6300.40     102 672  Odbccp32.dll
   21/07/03  22:24  3.70.11.40        524 560  Sqlsrv32.dll
				

Service Pack 2 MDAC 2.6

       Date  Heure   Version           Taille  Nom de fichier
   --------------------------------------------------------------
   21/07/03  17:28  2000.80.746.0      86 588  Dbnetlib.dll
   22/07/03  22:04  3.520.7501.40     217 360  Odbc32.dll
   21/07/03  17:28  2000.80.746.0      29 252  Odbcbcp.dll
   22/07/03  22:04  3.520.7501.40     102 672  Odbccp32.dll
   31/07/03  23:07  2000.80.746.0     479 800  Sqloledb.dll
   21/07/03  17:28  2000.80.746.0     455 236  Sqlsrv32.dll
 				

MDAC 2.7 RTM

       Date  Heure   Version           Taille  Nom de fichier
   --------------------------------------------------------------
   31/07/03  17:49  2000.81.9001.40    61 440  Dbnetlib.dll
   22/07/03  23:04  3.520.9001.40     204 800  Odbc32.dll
   22/07/03  23:10  2000.81.9001.40    24 576  Odbcbcp.dll
   22/07/03  23:10  3.520.9001.40      94 208  Odbccp32.dll
   31/07/03  17:49  2000.81.9001.40   450 560  Sqloledb.dll
   22/07/03  23:08  2000.81.9001.40   356 352  Sqlsrv32.dll
				

Service Pack 1 MDAC 2.7

       Date  Heure   Version           Taille  Nom de fichier
   --------------------------------------------------------------
   22/07/03  18:27  2000.81.9041.40    61 440  Dbnetlib.dll
   22/07/03  18:22  3.520.9041.40     204 800  Odbc32.dll
   22/07/03  18:28  2000.81.9041.40    24 576  Odbcbcp.dll
   22/07/03  18:28  3.520.9041.40      98 304  Odbccp32.dll
   31/07/03  18:47  2000.81.9041.40   471 040  Sqloledb.dll
   22/07/03  18:27  2000.81.9041.40   385 024  Sqlsrv32.dll
				

Vérification

Assurez-vous de disposer des versions appropriées des fichiers répertoriés dans cet article.

Vous pouvez également vérifier l'installation du correctif en vérifiant l'existence des entrées suivantes sous la clé
HKLM\Software\Microsoft\Updates
et les versions des fichiers installés. Vous devriez voir l'entrée suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

Références

Pour plus d'informations sur ce correctif de sécurité, reportez-vous au Bulletin de sécurité Microsoft MS03-033 :
http://www.microsoft.com/france/technet/info/info.asp?mar=/france/technet/securite/info/ms03-033.html

Propriétés

Numéro d'article: 823718 - Dernière mise à jour: vendredi 16 février 2007 - Version: 5.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
Mots-clés : 
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com