[MS03-033] Microsoft Data Access Components のセキュリティ アップデート

文書翻訳 文書翻訳
文書番号: 823718 - 対象製品
すべて展開する | すべて折りたたむ

概要

Microsoft Data Access Components (MDAC) は、Microsoft Windows オペレーティング システムでデータベース接続を提供するために使用されるコンポーネントの集まりです。MDAC は広範囲にわたって使用されている技術であり、ほとんどの Windows システムに存在します。

MDAC は Microsoft Windows XP、Microsoft Windows 2000 および Microsoft Windows Millennium Edition (Me) の一部としてデフォルトでインストールされます。また、その他の製品や技術の中にも、MDAC を含むものやインストールするものが多くあります。たとえば、Microsoft Windows NT 4.0 Option Pack および Microsoft SQL Server 2000 の両方には MDAC が含まれます。また、Microsoft Internet Explorer には、MDAC 自体はインストールされていなくても、その一部としていくつかの MDAC コンポーネントが含まれています。MDAC はスタンドアロン技術としてダウンロードすることもできます。MDAC をダウンロードするには、次のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/japan/msdn/data/download.asp
MDAC 2.8 より前のバージョンには、バッファ オーバーフローの脆弱性につながる問題が含まれています。MDAC は、リモート データベースへの接続やクライアントへのデータの送信など、多くのデータベース操作の基本機能を提供します。ネットワーク上のクライアント コンピュータが同じネットワーク上で Microsoft SQL Server を実行しているコンピュータの一覧を参照する場合、ネットワーク上のすべてのデバイスに対してブロードキャスト要求を送信します。このとき、特定の MDAC コンポーネントに含まれている問題のため、攻撃者が特殊な形式のパケットを返して、バッファ オーバーフローを発生させるおそれがあります。このバッファ オーバーフローの脆弱性は、この資料に記載されているセキュリティ更新プログラムによって解消されます。

この問題の悪用に成功した攻撃者は、前述のブロードキャスト要求を送信したアプリケーションと同じレベルのユーザーの権利を取得します。その結果、システム上でのデータの作成、変更、および削除、システムの再構成、ハード ディスクの再フォーマット、攻撃者のプログラムの実行などが可能になるおそれがあります。

以下は、この問題を緩和する要素です。
  • 攻撃を行うには、攻撃者は対象のシステムと同じサブネット上で Microsoft SQL Server を実行するコンピュータをシミュレートする必要があります。
  • クライアント システムで実行されるコードは、ログオンしているユーザーの権限の範囲内でのみ実行されます。
  • MDAC 2.8 には、この資料に記載されている更新プログラムで修正される問題は含まれていません。 MDAC 2.8 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    820761 [INFO] MDAC 2.8 に含まれる重要な修正の一覧

詳細

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する
ダウンロード
Microsoft Data Access Components (MDAC) セキュリティ修正プログラム MS03-033 パッケージ リリース日 : 2003 年 8 月 20 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

: この更新プログラムはすべての言語に適用できます。

必要条件

以下のいずれかのバージョンの MDAC を実行している必要があります。
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
これらより前の MDAC のバージョンにも脆弱性が存在しますが、サポート対象外です。一覧に示された MDAC のバージョンにアップグレードする必要があります。

実行中の MDAC のバージョンはレジストリで確認できます。バージョン情報は次のキーにあります。

HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer


レジストリをチェックするには、次の操作を行います。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに regedit と入力し、[OK] をクリックします。レジストリ エディタが起動します。
  3. 左側のウィンドウで、次のキーを見つけます。

    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. 詳細ウィンドウで、"名前" 列の "FullInstallVer" と "Version" を見つけます。これらのキーの "データ" 列が対応するバージョン情報です。この情報を次の表と比較します。
  5. 確認が済んだら、[レジストリ] メニューまたは [ファイル] メニューの [レジストリ エディタの終了] をクリックして、レジストリ エディタを終了します。
元に戻す全体を表示する
MDAC のバージョン FullInstallVer のデータ
MDAC 2.5 RTM 2.50.xxxx.x
MDAC 2.5 SP1 2.51.xxxx.x
MDAC 2.5 SP2 2.52.xxxx.x
MDAC 2.5 SP3 2.53.xxxx.x
MDAC 2.6 RTM 2.60.xxxx.x
MDAC 2.6 SP1 2.61.xxxx.x
MDAC 2.6 SP2 2.62.xxxx.x
MDAC 2.7 RTM 2.70.xxxx.x
MDAC 2.7 SP1 2.71.xxxx.x
MDAC 2.8 RTM 2.80.xxxx.x
MDAC のバージョンを確認する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
301202 [HOWTO] MDAC のバージョンを確認する方法

インストール情報

このセキュリティ更新プログラムは、インストーラ プログラムによってインストールされます。

: インストーラ プログラムのユーザー インターフェイスは英語のみです。

インストール オプション

この更新プログラムでは、以下のセットアップ スイッチを使用できます。
スイッチ              説明
-------------------------------------------------------------------------
/?                インストール スイッチの一覧を表示します。
/Q                Quiet モードで実行します。
/T:<full path>    一時作業フォルダを指定します。
/C                /T と併用したときに、指定したフォルダへのファイルの展開のみを行います。
/C:<コマンド>       作成者が定義したインストール コマンドよりも優先して実行されます。
/N                再起動のダイアログ ボックスを表示しません。
				

たとえば、次のコマンド ライン コマンドを使用すると、更新プログラムのインストールの際にユーザー入力の必要がなく、コンピュータが再起動されることはありません。

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

dahotfix.exe で指定されている /q はサイレント インストール用のスイッチ、/n は再起動を抑止するためのスイッチです。

警告 : 再起動するまで、コンピュータの脆弱性はなくなりません。

再起動の必要性

この更新プログラムの適用後に、コンピュータを再起動する必要があります。

アンインストール情報

このセキュリティ更新プログラムは、インストール後に削除することはできません。

以前のセキュリティ更新プログラムの状態

このセキュリティ更新プログラムは、マイクロソフト セキュリティ情報 MS02-040 で提供されるセキュリティ更新プログラムを置き換えます。マイクロソフト セキュリティ情報 MS02-040 の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/ms02-040.mspx
マイクロソフト セキュリティ情報 MS02-040 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
326573 [MS02-040] Microsoft Data Access Components のセキュリティ アップデート

ファイル情報

セキュリティ更新プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい更新プログラムがリリースされている可能性もあります。

MDAC 2.5 Service Pack 2

   日付           時刻    バージョン         サイズ      ファイル名
   --------------------------------------------------------------
   2003/07/23  13:56  3.520.6100.40    212,992  odbc32.dll      
   2003/07/21  15:24  3.70.11.40        24,848  odbcbcp.dll     
   2003/07/22  19:29  3.520.6100.40    102,672  odbccp32.dll    
   2003/07/21  15:24  3.70.11.40       524,560  sqlsrv32.dll    
				

MDAC 2.5 Service Pack 3

   日付           時刻    バージョン         サイズ      ファイル名
   --------------------------------------------------------------
   2003/07/23  17:13  3.520.6300.40    212,992  odbc32.dll  
   2003/07/21  15:24  3.70.11.40        24,848  odbcbcp.dll 
   2003/07/23  17:11  3.520.6300.40    102,672  odbccp32.dll
   2003/07/21  15:24  3.70.11.40       524,560  sqlsrv32.dll

				

MDAC 2.6 Service Pack 2

   日付           時刻    バージョン         サイズ      ファイル名
   --------------------------------------------------------------
   2003/07/21  10:28  2000.80.746.0     86,588  dbnetlib.dll    
   2003/07/22  15:04  3.520.7501.40    217,360  ODBC32.dll      
   2003/07/21  10:28  2000.80.746.0     29,252  odbcbcp.dll     
   2003/07/22  15:04  3.520.7501.40    102,672  ODBCCP32.dll    
   2003/07/31  16:07  2000.80.746.0    479,800  sqloledb.dll    
   2003/07/21  10:28  2000.80.746.0    455,236  sqlsrv32.dll    

 				

MDAC 2.7 RTM

   日付           時刻    バージョン            サイズ     ファイル名
   --------------------------------------------------------------
   2003/07/31  10:49  2000.81.9001.40     61,440  DBnetlib.dll    
   2003/07/22  16:04  3.520.9001.40      204,800  ODBC32.dll      
   2003/07/22  16:10  2000.81.9001.40     24,576  odbcbcp.dll     
   2003/07/22  16:10  3.520.9001.40       94,208  ODBCCP32.dll    
   2003/07/31  10:49  2000.81.9001.40    450,560  sqloledb.dll    
   2003/07/22  16:08  2000.81.9001.40    356,352  SQLSRV32.dll    

				

MDAC 2.7 Service Pack 1

   日付           時刻    バージョン            サイズ     ファイル名
   --------------------------------------------------------------
   2003/07/22  11:27  2000.81.9041.40     61,440  DBnetlib.dll    
   2003/07/22  11:22  3.520.9041.40      204,800  ODBC32.dll      
   2003/07/22  11:28  2000.81.9041.40     24,576  odbcbcp.dll     
   2003/07/22  11:28  3.520.9041.40       98,304  ODBCCP32.dll    
   2003/07/31  11:47  2000.81.9041.40    471,040  sqloledb_.dll   
   2003/07/22  11:27  2000.81.9041.40    385,024  SQLSRV32.dll    


				

動作の検証

この資料に記載された正しいバージョンのファイルがインストールされていることを確認します。

HKLM\Software\Microsoft\Updates
キーの下に以下のエントリがあること、およびインストールされたファイルのバージョンを確認することによって、更新プログラムがインストールされているかどうかを確認できます。次のエントリを確認してください。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

関連情報

このセキュリティ更新プログラムの詳細については、マイクロソフト セキュリティ情報 MS03-033 を参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/ms03-033.mspx

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 823718 (最終更新日 2004-06-27) を基に作成したものです。

プロパティ

文書番号: 823718 - 最終更新日: 2007年7月18日 - リビジョン: 5.3
この資料は以下の製品について記述したものです。
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
キーワード:?
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com