MS03-033: Microsoft 数据访问组件安全更新

文章翻译 文章翻译
文章编号: 823718 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

Microsoft Data Access Components (MDAC) 是一个组件集合,用于在 Microsoft Windows 操作系统上提供数据库连接。MDAC 是一种常用的技术,大多数 Windows 系统上都可能有。

默认情况下,MDAC 作为一个组成部分包括在 Windows XP、Windows 2000 和 Windows Millennium Edition (Me) 中。许多其他产品和技术中也包含了或安装了 MDAC。例如,Microsoft Windows NT 4.0 Option Pack 和 Microsoft SQL Server 2000 中都有 MDAC;而且,即使未安装 MDAC 本身,Microsoft Internet Explorer 中也包含某些 MDAC 组件。此外,MDAC 还作为一种独立的技术来提供。如要下载 MDAC,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/en-us/data/aa937695.aspx
MDAC 的早于 2.8 的各种版本中存在一个缺陷,此缺陷会造成缓冲区溢出漏洞。MDAC 为许多数据库操作提供了基本功能,如连接到远程数据库和向客户端返回数据。当网络上的客户机尝试查看运行着 Microsoft SQL Server 的、驻留在网络上的计算机的列表时,它将向网络上的所有设备发送一个广播请求。由于一个特定的 MDAC 组件中存在缺陷,攻击者可以使用一个特意创建的数据包进行响应,从而导致出现缓冲区溢出。本文介绍的安全修补程序用于修补缓冲区溢出漏洞。

成功利用此缺陷的攻击者可以在系统上获取与发起上述广播请求的应用程序相同的用户权限级别。此权限可包括创建、修改或删除系统上的数据,重新配置系统,重新格式化硬盘,或在系统上运行攻击者选择的程序。

下面是一些可以减轻不良影响的因素:
  • 为使攻击能够成功,攻击者必须模拟与目标系统处于同一子网的运行 Microsoft SQL Server 的计算机。
  • 在客户端系统上执行的代码将仅在登录用户的管理凭据所具有的权限下运行。
  • MDAC 2.8 版不包含本公告修复的缺陷。 有关 MDAC 2.8 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    820761 MDAC 2.8 中包含的重要修复程序列表

更多信息

下载信息

从 Microsoft 下载中心可以下载以下文件:
收起这个图片展开这个图片
下载
立即下载 Microsoft Data Access Components (MDAC) 安全修补程序 MS03-033 程序包。 发布日期:2003 年 8 月 20 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

注意:此修补程序与特定的语言无关。

先决条件

您必须在运行 MDAC 的下列版本之一:
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
MDAC 的更早版本虽然也有漏洞,但不受支持。您必须升级到上面列出的 MDAC 版本才能应用此修补程序。

您可以通过检查注册表来确定您正在运行的 MDAC 版本。可在以下注册表项中找到版本信息:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

要查看注册表,请按照下列步骤操作:
  1. 单击“开始”,然后单击“运行”。
  2. 在“打开”文本框中,键入 regedit,然后单击“确定”。启动注册表编辑器。
  3. 在导航窗口,找到以下注册表项:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. 在细节窗格中,在名称栏中找到 FullInstallVer 和版本。其中的每个注册表项在数据列中都有相应的版本信息。请将此信息与下表中的版本信息进行比较。
  5. 完成后,单击“注册表”菜单上的“退出”以关闭注册表编辑器。
收起该表格展开该表格
MDAC 版本完全安装版本
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP12.51.xxxx.x
MDAC 2.5 SP22.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM2.60.xxxx.x
MDAC 2.6 SP12.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM2.80.xxxx.x
有关如何确定您当前的 MDAC 版本的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
301202 如何检查 MDAC 版本

安装信息

此安全修补程序是通过一个安装程序安装的。

注意:此安装程序只有英文版。

安装选项

此更新程序支持以下安装开关:
开关                说明
-------------------------------------------------------------------------
/?                显示安装开关列表
/Q                安静模式
/T:<完整路径>      指定临时工作文件夹
/C                与 /T 一起使用时,只将文件提取到该文件夹
/C:<Cmd>          替代作者定义的安装命令
/N                无重新启动对话框
				

例如,以下命令行命令会以无用户干预方式安装更新程序并禁止重启:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

为 dahotfix.exe 指定的 /q 选项用于指定无提示安装,/n 选项禁止重启。

警告:只有在重新启动计算机后,计算机中才不再有漏洞。

重新启动要求

应用此更新程序后,必须重新启动计算机。

删除信息

此安全修补程序在安装之后无法删除。

安全修补程序代替信息

此安全修补程序代替了 Microsoft 安全公告 MS02-040 中提供的安全修补程序。有关 Microsoft 安全公告 MS02-040 的更多信息,请访问以下 Microsoft 网址:
http://www.microsoft.com/china/security/Bulletins/MS02-040.asp
有关 Microsoft 安全公告 MS02-040 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
326573 MS02-040:Microsoft 数据访问组件的安全更新

文件信息

此安全修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为当地时间。要了解 UTC 与当地时间之间的时差,请使用“控制面板”中“日期和时间”工具中的“时区”选项卡。

MDAC 2.5 Service Pack 2

日期           时间    版本                 大小      文件名
--------------------------------------------------------------
23-Jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll       
21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      
23-Jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll     
21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     
				

MDAC 2.5 Service Pack 3

日期           时间    版本                 大小      文件名
--------------------------------------------------------------
24-Jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll       
21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll
24-Jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll     
21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll
				

MDAC 2.6 Service Pack 2

日期           时间    版本                 大小      文件名
--------------------------------------------------------------
21-Jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll     
22-Jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll       
21-Jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll      
22-Jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll     
31-Jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll     
21-Jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll     
				

MDAC 2.7 RTM

日期           时间    版本                 大小      文件名
--------------------------------------------------------------
31-Jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll     
22-Jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll       
22-Jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll      
22-Jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll     
31-Jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll     
22-Jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll     
				

MDAC 2.7 Service Pack 1

日期           时间    版本                  大小     文件名
--------------------------------------------------------------
22-Jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll     
22-Jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll       
22-Jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll      
22-Jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll     
31-Jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll     
22-Jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll     
				

验证

确保您拥有本文列出的文件的正确版本。

您也可以通过检查
HKLM\Software\Microsoft\Updates
注册表项和已安装的文件版本下是否存在以下项目来验证此修复程序是否已安装。您应该看到以下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718

参考

有关此安全修补程序的其他信息,请查阅 Microsoft 安全公告 MS03-033:
http://www.microsoft.com/china/security/Bulletins/MS03-033.asp

属性

文章编号: 823718 - 最后修改: 2007年2月16日 - 修订: 5.3
这篇文章中的信息适用于:
  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
关键字:?
kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com