MS03-033: Обновление для системы безопасности компонентов доступа к данным (Microsoft Data Access Components)

Переводы статьи Переводы статьи
Код статьи: 823718 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

Компоненты доступа к данным Microsoft (MDAC) представляют собой набор компонентов, используемых в большинстве операционных систем семейства Microsoft Windows для подключения к базам данных.

По умолчанию они поставляются в составе Microsoft Windows XP, Microsoft Windows 2000 и Microsoft Windows Millennium Edition, а также входят в состав ряда других продуктов и технологий. Например, компоненты MDAC входят в пакет Microsoft Windows NT 4.0 Option Pack, Microsoft SQL Server 2000, ряд компонентов MDAC используется в обозревателе Internet Explorer, даже если набор MDAC не установлен. Кроме того, компоненты MDAC доступны в виде отдельного набора компонентов. Чтобы загрузить MDAC, обратитесь к веб-узлу Майкрософт по следующему адресу:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
Компоненты MDAC до версии 2.8 содержат уязвимость, которая может приводить к переполнению буфера. MDAC обеспечивают основополагающие функциональные возможности для ряда операций с базами данных, таких как подключение к удаленным базам данных и получение данных клиентом. Когда клиент пытается получить список подключенных к сети компьютеров, на которых запущены службы Microsoft SQL Server, он отправляет широковещательный запрос всем устройствам данной сети. Воспользовавшись изъяном в одном из компонентов MDAC, злоумышленник может ответить на этот запрос с помощью специально созданного пакета и вызвать переполнение буфера. Для устранения указанной уязвимости установите исправление для системы безопасности, описанное в данной статье.

Воспользовавшись этой уязвимостью, злоумышленник может получить тот же уровень прав пользователя в системе, что и приложение, инициировавшее вышеупомянутый широковещательный запрос. При этом может происходить создание, изменение или удаление данных в системе, перенастройка системы, переформатирование жесткого диска или выполнение программ, выбранных злоумышленником.

Факторы, снижающие опасность.
  • Чтобы атака оказалась успешной, злоумышленник должен имитировать компьютер, на котором запущены службы Microsoft SQL Server и который находится в той же подсети, что и целевой компьютер.
  • Код, исполняемый в системе клиента, должен выполняться только с административными полномочиями зарегистрированного пользователя.
  • MDAC версии 2.8 не содержит уязвимость, описанную в данной статье. Дополнительные сведения о компонентах MDAC 2.8 см. в следующей статье базы знаний Майкрософт:
    820761 Список основных исправлений в MDAC 2.8

Дополнительная информация

Сведения о загрузке

Загрузите следующий файл с веб-узла центра загрузки корпорации Майкрософт:
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет исправлений для системы безопасности Microsoft Data Access Components (MDAC) MS03-033. Дата выпуска: 20 августа 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Примечание. Данное исправление не зависит от используемой языковой версии.

Необходимые условия

Для установки исправления необходимо, чтобы на компьютере была установлена одна из следующих версий MDAC.
  • MDAC 2.5 с пакетом обновлений 2 (SP2)
  • MDAC 2.5 с пакетом обновлений 3 (SP3)
  • MDAC 2.6 с пакетом обновлений 2 (SP2)
  • MDAC 2.7 RTM
  • MDAC 2.7 с пакетом обновлений 1 (SP1)
Более старые версии MDAC также имеют описанную уязвимость, но не поддерживаются данным исправлением. При их использовании необходимо выполнить обновление до версии, поддерживаемой этим исправлением.

Определить версию MDAC можно на основе информации системного реестра. Сведения о версии хранятся в следующем разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

Чтобы просмотреть содержимое данного реестра, выполните следующие действия.
  1. Нажмите кнопку Пуск и выберите пункт Выполнить.
  2. В поле Открыть введите команду regedit и нажмите кнопку ОК. При этом запустится редактор реестра.
  3. Найдите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. В правой части окна найдите параметры FullInstallVer и Version. Сведения о номере версии расположены в столбце «Значение» напротив каждого из этих параметров. Сравните эти номера с информацией из следующей таблицы.
  5. Чтобы закрыть редактор реестра, в меню Реестр выберите команду Выход.
Свернуть эту таблицуРазвернуть эту таблицу
Версия MDACFullInstallVer
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP12.51.xxxx.x
MDAC 2.5 SP22.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM 2.60.xxxx.x
MDAC 2.6 SP1 2.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM 2.80.xxxx.x
Дополнительные сведения об определении версии MDAC см. в следующей статье базы знаний Майкрософт:
301202 Как определить версию MDAC

Сведения об установке

Данное исправление для системы безопасности устанавливается с помощью программы-установщика.

Примечание. Программа установки использует только английский язык.

Параметры установки

Программа установки обновления поддерживает следующие параметры командной строки.
Параметр          Описание
-------------------------------------------------------------------------
/?                Показать список параметров установки.
/Q                Скрытый режим.
/T:<полный_путь>  Служит для указания временной папки.
/C                Служит для извлечения файлов только в папку (если используется вместе с ключом  /T)
/C:<Cmd>          Переопределить заданную автором команду установки.
/N                Не выводить запрос на перезагрузку.
				

Например, для установки обновления без вмешательства пользователя и без последующей перезагрузки необходимо выполнить следующую команду:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

Параметр /q предписывает использовать скрытый режим, а параметр /n запрещает перезагрузку.

Предупреждение. Пока не выполнена перезагрузка, компьютер остается уязвимым.

Необходимость перезагрузки

Необходимо перезагрузить компьютер после установки данного обновления.

Сведения об удалении

После установки удаление этого исправления невозможно.

Сведения о замене исправлений

Данное исправление для системы безопасности замещает исправление, описанное в бюллетене по безопасности MS02-040. За дополнительными сведениями о бюллетене по безопасности MS02-040 обратитесь к веб-узлу Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/bulletin/MS02-040.mspx
Дополнительные сведения о бюллетене Майкрософт по безопасности MS02-040 см. в следующей статье базы знаний Майкрософт:
326573 MS02-040: Исправление безопасности для компонентов доступа к данным Microsoft (MDAC)

Сведения о файлах

Английская версия данного исправления для системы безопасности содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время указаны в формате единого всемирного времени (по Гринвичу). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.

MDAC 2.5 с пакетом обновлений 2 (SP2)

   	Дата    Время  Версия            Размер   Имя файла
   --------------------------------------------------------------
   23-июл-2003  20:56  3.520.6100.40     212 992  Odbc32.dll
   21-июл-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll
   23-июл-2003  02:29  3.520.6100.40     102 672  Odbccp32.dll
   21-июл-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll
				

MDAC 2.5 с пакетом обновлений 3 (SP3)

   	Дата    Время  Версия            Размер   Имя файла
   --------------------------------------------------------------
   24-июл-2003  00:13  3.520.6300.40     212 992  Odbc32.dll
   21-июл-2003  22:24  3.70.11.40         24 848  Odbcbcp.dll
   24-июл-2003  00:11  3.520.6300.40     102 672  Odbccp32.dll
   21-июл-2003  22:24  3.70.11.40        524 560  Sqlsrv32.dll
				

MDAC 2.6 с пакетом обновлений 2 (SP2)

   	Дата    Время  Версия            Размер   Имя файла
   --------------------------------------------------------------
   21-июл-2003  17:28  2000.80.746.0      86 588  Dbnetlib.dll
   22-июл-2003  22:04  3.520.7501.40     217 360  Odbc32.dll
   21-июл-2003  17:28  2000.80.746.0      29 252  Odbcbcp.dll
   22-июл-2003  22:04  3.520.7501.40     102 672  Odbccp32.dll
   31-июл-2003  23:07  2000.80.746.0     479 800  Sqloledb.dll
   21-июл-2003  17:28  2000.80.746.0     455 236  Sqlsrv32.dll
 				

MDAC 2.7 RTM

   	Дата    Время  Версия            Размер   Имя файла
   --------------------------------------------------------------
   31-июл-2003  17:49  2000.81.9001.40    61 440  Dbnetlib.dll
   22-июл-2003  23:04  3.520.9001.40     204 800  Odbc32.dll
   22-июл-2003  23:10  2000.81.9001.40    24 576  Odbcbcp.dll
   22-июл-2003  23:10  3.520.9001.40      94 208  Odbccp32.dll
   31-июл-2003  17:49  2000.81.9001.40   450 560  Sqloledb.dll
   22-июл-2003  23:08  2000.81.9001.40   356 352  Sqlsrv32.dll
				

MDAC 2.7 с пакетом обновлений 1 (SP1)

   	Дата    Время  Версия            Размер   Имя файла
   --------------------------------------------------------------
   22-июл-2003  18:27  2000.81.9041.40    61 440  Dbnetlib.dll
   22-июл-2003  18:22  3.520.9041.40     204 800  Odbc32.dll
   22-июл-2003  18:28  2000.81.9041.40    24 576  Odbcbcp.dll
   22-июл-2003  18:28  3.520.9041.40      98 304  Odbccp32.dll
   31-июл-2003  18:47  2000.81.9041.40   471 040  Sqloledb.dll
   22-июл-2003  18:27  2000.81.9041.40   385 024  Sqlsrv32.dll
				

Проверка

Убедитесь, что используются правильные версии файлов, перечисленных в данной статье.

Чтобы убедиться, что исправление установлено, можно проверить версии установленных файлов и наличие следующего параметра в разделе реестра
HKLM\Software\Microsoft\Updates
. Должен существовать параметр реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

Ссылки

За дополнительной информацией о данном исправлении для системы безопасности обратитесь к следующему бюллетеню по безопасности MS03-033:
http://www.microsoft.com/technet/security/bulletin/MS03-033.mspx

Свойства

Код статьи: 823718 - Последний отзыв: 16 февраля 2007 г. - Revision: 5.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
Ключевые слова: 
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com