MS03-031: تصحيح أمان لنظام SQL Server 7.0 المزود بحزمة الخدمة Service Pack 4‏

تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الموجز
تحتوي مقالة "قاعدة المعارف لـ Microsoft" هذه على معلومات حول إصدار تصحيح الأمان الخاص بنظام SQL Server 7.0 المزود بحزمة الخدمة Service Pack 4 ‏(SP4) وMicrosoft Data Engine 1.0 المزود بحزمة الخدمة SP4. يحل تصحيح الأمان هذا محل كافة تصحيحات الأمان السابقة والموثقة في مقالة "قاعدة المعارف لـ Microsoft" التالية (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد))، متضمنًا ذلك تصحيح الأمان لنشرة الأمن لـ Microsoft رقم MS02-061 والخاصة بـ SQL Server 7.0:
327068 تحديث أمان خاص بـ SQL Server 7.0 لحزمة الخدمة Service Pack 4

ملاحظات هامة

لا تحتوي هذه الحزمة على تصحيحات الأمان الموجودة في مكونات Microsoft Data Access ‏(MDAC) وخدمات SQL Server Analysis Services.

يعمل تصحيح الأمان هذا على حل الثغرات الأمنية التالية:
  • التحكم في أنبوبة الاتصال المسماة
    عند بدء تشغيل نظام SQL Server، فإنه يقوم بإنشاء أنبوبة اتصال مسماة محددة للاتصالات الواردة إلى الملقم ثم يقوم بالإصغاء إليها. وتمثل أنبوبة الاتصال المسماة قناة أحادية أو ثنائية الاتجاه مسماة خصيصًا للاتصال بين ملقم أنبوبة الاتصال وعميل أو أكثر من عملاء أنابيب الاتصال. ويقوم نظام SQL Server بفحص أنبوبة الاتصال المسماة للتحقق من الاتصالات التي تتمكن من تسجيل الدخول إلى النظام الذي يقوم بتشغيل SQL Server لتشغيل استعلامات عن البيانات المخزنة على الملقم.

    يوجد خلل في طريقة فحص أنبوبة الاتصال المسماة مما قد يسمح لمهاجم يستخدم النظام المحلي الذي يقوم بتشغيل نظام SQL Server بالتحكم في (السيطرة على) أنبوبة الاتصال المسماة عند استخدام عميل آخر لكلمة مرور تسجيل دخول مصدق عليها لتسجيل الدخول. قد يسمح ذلك للمهاجم بالتحكم في أنبوبة الاتصال المسماة بنفس مستوى الإذن الممنوح للمستخدم الذي يحاول الاتصال. في حالة ما إذا كان لدى المستخدم الذي يحاول الاتصال عن بُعد أذونات ذات مستوى أعلى مما يمتلكه المهاجم، سيحصل المهاجم على هذه الحقوق عند اختراق أنبوبة الاتصال المسماة.
  • رفض خدمة أنبوبة الاتصال المسماة
    بنفس سيناريو أنابيب الاتصال المسماة والوارد في قسم "التحكم في أنبوبة الاتصال المسماة" من هذه النشرة، قد يتمكن مستخدم غير مخوَّل يستخدم الإنترانت المحلية من إرسال حزمة كبيرة جدًا إلى أنبوبة اتصال مسماة محددة يقوم من خلالها جهاز الكمبيوتر الذي يستخدم SQL Server بالإصغاء، مما يؤدي إلى عدم استجابة أنبوبة الاتصال المسماة.

    لن تسمح هذه الثغرة الأمنية للمهاجم بتشغيل تعليمات برمجية إجبارية أو رفع مستوى الأذونات، ولكن قد يظل من الممكن وجود إحدى حالات رفض الخدمة والتي قد تتطلب إعادة تشغيل الملقم لاستعادة الوظائف.
  • تجاوز المخزن المؤقت لـ SQL Server
    يوجد خلل في وظيفة محددة من وظائف Windows مما قد يسمح لمستخدم مخوَّل لديه صلاحية وصول مباشر لتسجيل الدخول إلى نظام يقوم بتشغيل SQL Server بإنشاء حزمة مكونة خصيصًا. عند إرسال هذه الحزمة إلى منفذ استدعاء الإجراء المحلي (LPC) الخاص بالنظام والذي يقوم بالإصغاء، قد يؤدي ذلك إلى تجاوز المخزن المؤقت. في حالة استغلال هذه الثغرة بنجاح، قد يتمكن المستخدم الذي لديه أذونات محدودة على النظام من رفع مستوى الأذونات إلى مستوى حساب خدمة SQL Server أو التسبب في تشغيل تعليمات برمجية إجبارية.
معلومات أخرى

ملاحظات هامة

اقرأ الملاحظات الهامة التالية حول تثبيت تصحيح الأمان هذا على جهاز كمبيوتر عليه SQL Server 7.0 المزود بحزمة الخدمة SP4.

ظهور رسالة خطأ عند اتصالك بجهاز كمبيوتر يعمل بنظام تشغيل Microsoft Windows NT 4.0 باستخدام أنابيب الاتصال المسماة

عند الاتصال بجهاز كمبيوتر يعمل بنظام تشغيل Windows NT 4.0 وعليه SQL Server 7.0 باستخدام أنابيب الاتصال المسماة، وعندما يتم هذا الاتصال بواسطة تسجيل الدخول بشخص ليس لديه امتيازات المسؤول، قد تظهر رسالة خطأ مشابهة لإحدى الرسالتين التاليتين:
الرسالة ١
تعذّر تأسيس الاتصال. SQL Server غير موجود
الرسالة ٢
تعذّر تأسيس الاتصال. تم رفض الوصول.
للحصول على إصلاح جديد لحل مشكلة ظهور رسالة الخطأ هذه، راجع المقالة التالية في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
823492 ظهور رسالة الخطأ "تعذر تأسيس الاتصال" عند الاتصال بجهاز كمبيوتر يعمل بنظام التشغيل Windows NT 4.0 عليه SQL Server 2000 أو SQL Server 7.0

المتطلبات المسبقة

يتطلب تثبيت تصحيح الأمان هذا وجود SQL Server 7.0 المزود بحزمة الخدمة SP4 على الجهاز.

لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
301511 كيفية الحصول على أحدث حزمة خدمة لنظام SQL Server 7.0
بالنسبة لعمليات تثبيت SQL Server 7.0 المرتبة في قطاعات، يجب أولاً إلغاء ترتيب قطاعات SQL Server عن طريق تشغيل معالج SQL Server Failover Wizard من ‏‏عقدة النظام الأساسي الخاصة بكل ملقم SQL Server ظاهري.
نشط/نشط
اتبع الخطوات التالية لإجراء تثبيت نشط/نشط:
  1. تأكد من أن عقدة جهاز الكمبيوتر، حيث تم تثبيت SQL Server 7.0 في الأساس، تتحكم في مجموعتي موارد SQL Server.
  2. في كل عقدة من القطاع، قم بتشغيل الأداة المساعدة Failover Setup Wizard (معالج إعداد تجاوز الفشل) لإزالة SQL Server الظاهري هذا.
  3. بعد إلغاء ترتيب قطاعات SQL Server، يجب أن تقوم بتشغيل الملف التنفيذي الخاص بالإصلاح الجديد على العقدتين، وإكمال تثبيت الإصلاح الجديد بنجاح قبل إعادة ترتيب قطاعات SQL Server.
نشط/كامن
اتبع الخطوات التالية لإجراء تثبيت نشط/كامن:
  1. تأكد من أن عقدة جهاز الكمبيوتر، حيث تم تثبيت SQL Server 7.0 في الأساس، تتحكم في موارد SQL Server.
  2. في نفس عقدة جهاز الكمبيوتر هذا، قم بتشغيل الأداة المساعدة Failover Setup Wizard لإزالة SQL Server الظاهري هذا.
  3. بعد إلغاء ترتيب قطاعات SQL Server، يجب أن تقوم بتشغيل الملف التنفيذي الخاص بالإصلاح الجديد على العقدة الأساسية فقط، وإكمال تثبيت الإصلاح الجديد بنجاح قبل إعادة ترتيب قطاعات SQL Server.

معلومات التحميل

يمكن تحميل الملف التالي من "مركز تحميل Microsoft":
تاريخ الإصدار: ٢٣ يوليو ٢٠٠٣

لمزيد من المعلومات حول كيفية تحميل ملفات دعم Microsoft، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
119591 كيفية الحصول على ملفات دعم Microsoft من خلال الخدمات عبر الإنترنت
قامت شركة Microsoft بفحص هذا الملف للتحقق من عدم وجود الفيروسات. واستخدمت شركة Microsoft أحدث برامج الكشف عن الفيروسات التي كانت متوفرة وقت نشر الملف. وقد تم تخزين الملف على ملقمات مزودة بإجراءات أمان متقدمة تساعد على منع إجراء أية تغييرات غير مصرح بها على هذا الملف.

معلومات التثبيت

يدعم تصحيح الأمان هذا رموز التبديل التالية الخاصة بالإعداد.
رمز التبديلالوصف
/sيستخدم لتعطيل مربع حوار تقدم Self Extraction. ويجب أن يسبق رمز التبديل /a.
/aيجب أن تسبق هذه المعلمة كافة المعلمات الأخرى فيما عدا المعلمة /s إذا كنت تقوم بتشغيل الإصلاح الجديد باستخدام ملف الاستخراج الذاتي EXE وترغب في تضمين معلمات لإجراء تثبيت غير مراقب. وهي معلمة إلزامية لتشغيل المثبت في الوضع غير المراقب.
/qيتسبب رمز التبديل هذا في تشغيل برنامج الإعداد في وضع السكون بدون واجهة مستخدم.
BLANKSAPWD هذه المعلمة تعني أن كلمة المرور الخاصة بمسؤول النظام (sa) لمصادقة SQL فارغة. إذا أدخلت هذه المعلمة على جهاز كمبيوتر يعمل بنظام التشغيل Windows NT أو نظام التشغيل Windows 2000، يتم تجاوز تسجيل الدخول بمصادقة Windows الافتراضية وتكون هناك محاولة لتسجيل الدخول بكلمة مرور مسؤول النظام sa فارغة. التنسيق الصحيح لهذه المعلمة هو BLANKSAPWD=1. يتم التعرف على هذه المعلمة فقط في التثبيت غير المراقب.
SAPWDكلمة مرور sa (مسؤول النظام) غير فارغة. إذا أدخلت هذه المعلمة، يجب أن تكون بالشكل SAPWD=كلمة مرور مسؤول النظام الخاصة بك. في حالة إدخالها، تتجاوز هذه المعلمة مصادقة Windows الافتراضية على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows NT أو Windows 2000 أو BLANKSAPWD.
لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
330391 مثبت الإصلاح الجديد لـ SQL Server

متطلب إعادة التشغيل

لا يلزم إعادة تشغيل الكمبيوتر بعد تثبيت تصحيح الأمان هذا إلا إذا طلب منك مثبت الإصلاح الجديد ذلك.

معلومات الإزالة

لا تكون إزالة تصحيح الأمان هذا مدعمة إلا إذا تم عمل نسخة احتياطية من كتالوجات معينة قبل تثبيت تصحيح الأمان هذا. لمزيد من المعلومات، راجع قسم "كيفية إزالة الإصلاح الجديد أو إزالته" في مقالة "قاعدة المعارف لـ Microsoft" التالية (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
330391 مثبت الإصلاح الجديد لـ SQL Server

معلومات إحلال تصحيح الأمان

يحل تصحيح الأمان هذا محل كافة تصحيحات الأمان السابقة والموثقة في مقالة "قاعدة المعارف لـ Microsoft" التالية (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد))، بما في ذلك تصحيح الأمان لنشرة الأمن لـ Microsoft رقم MS02-061 والخاصة بنظام SQL Server 7.0:
327068 تحديث أمان خاص بـ SQL Server 7.0 لحزمة الخدمة Service Pack 4

معلومات الملف

يحتوي إصدار اللغة الإنجليزية من هذه الحزمة على سمات الملفات المسردة في الجدول التالي (أو أحدث). يتم سرد التواريخ والأوقات الخاصة بهذه الملفات بالتوقيت العالمي المتفق عليه (UTC). وعندما تقوم بعرض معلومات الملف، يتم تحويلها إلى التوقيت المحلي. لمعرفة الفرق بين التوقيت العالمي المتفق عليه (UTC) والتوقيت المحلي، استخدم علامة التبويب المنطقة الزمنية في عنصر "التاريخ والوقت" الموجود في "لوحة التحكم".
   التاريخ        الوقت    الإصدار              الحجم      اسم الملف   -----------------------------------------------------------------------   ٤ أكتوبر ٢٠٠٢  ١١:٥٩ م  2000.34.4.0        ٢٨,٩٤٤ بايت  Dbmssocn.dll        ٦ سبتمبر ٢٠٠٢  ١١:٥٥ م  2000.33.6.0        ٥٣,٥٢٠ بايت  Distrib.exe         ٦ سبتمبر ٢٠٠٢  ١١:٥٥ م  2000.33.6.0        ٩٨,٥٧٦ بايت  Logread.exe         ٥ مايو ٢٠٠٣    ٠٦:٣٤ م                     ٥٤,٩٠٤ بايت  Opends60.dbg   ٥ مايو ٢٠٠٣    ٠٦:٣٤ م  2000.41.2.0       ١٥٥,٩٢٠ بايت  Opends60.dll        ٥ مايو ٢٠٠٣    ٠٦:٣٤ م                    ١٣٢,٠٩٦ بايت  Opends60.pdb   ٦ سبتمبر ٢٠٠٢  ١١:٥٦ م  2000.33.6.0       ٢٥٠,١٢٨ بايت  Rdistcom.dll        ٦ سبتمبر ٢٠٠٢  ١١:٥٥ م  2000.33.6.0        ٨٢,١٢٩ بايت  Replmerg.exe        ٦ سبتمبر ٢٠٠٢  ١١:٥٦ م  2000.33.6.0        ٧٨,٠٩٦ بايت  Replres.dll         ١٧ سبتمبر ٢٠٠٢ ١٠:٥٢ م                      ٧,٩٤١ بايت  Securityhotfix.sql   ٦ سبتمبر ٢٠٠٢  ١١:٥٦ م  2000.33.6.0       ١٦٠,٠١٦ بايت  Snapshot.exe        ٣٠ مايو ٢٠٠٣   ٠٤:٢١ ص                     ٥٩,٢١٤ بايت  Sp4_serv_uni.sql   ١٥ يناير ٢٠٠٣  ٠١:٣٣ ص  2000.37.13.0      ٣٤٤,٠٦٤ بايت  Sqlagent.exe        ٦ سبتمبر ٢٠٠٢  ١١:٥٥ م  2000.33.6.0        ٤٥,٠٥٦ بايت  Sqlcmdss.dll        ١٦ مايو ٢٠٠٣   ١٢:١٨ ص  2000.41.14.0    ٢,٦٢٩,٦٣٢ بايت  Sqldmo.dll          ١٦ مايو ٢٠٠٣   ٠١:٢٩ م  2000.41.14.0       ٨١,٩٢٠ بايت  Sqlmap70.dll        ٢٩ مايو ٢٠٠٣   ١١:١١ م                  ٤,٣٧٠,٤٠٤ بايت  Sqlservr.dbg   ٣٠ مايو ٢٠٠٣   ٠٢:٤٤ ص  2000.41.28.0    ٥,٠٦٢,٩٢٨ بايت  Sqlservr.exe        ٢٩ مايو ٢٠٠٣   ١١:١١ م                  ٣,٥٨٩,١٢٠ بايت  Sqlservr.pdb   ٤ أكتوبر ٢٠٠٢  ١١:٥٩ م  2000.34.4.0        ٤٥,٣٢٨ بايت  Ssmsso70.dll        ١٦ مايو ٢٠٠٣   ١٢:١٨ ص  2000.41.14.0       ٢٤,٨٤٨ بايت  Ssnmpn70.dll        ٢٦ سبتمبر ٢٠٠٢ ٠٨:٣٠ م                     ٢٨,٤٠٨ بايت  Ums.dbg   ٢٦ سبتمبر ٢٠٠٢ ٠٨:٢٧ م  2000.33.25.0       ٥٧,٦١٦ بايت  Ums.dll             ٢٦ سبتمبر ٢٠٠٢ ٠٨:٢٩ م                     ٩٩,٣٢٩ بايت  Ums.pdb   ١٦ مايو ٢٠٠٣   ٠١:٣١ م  2000.41.14.0       ١٥١,٥٥٢ بايت Xpweb70.dll

التحقق

لتحديد إصدار SQL Server الذي تقوم بتشغيله، احرص على الاستعانة بالمعلومات الواردة في مقالة "قاعدة المعارف لـ Microsoft" التالية (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
321185 كيفية تحديد إصدار SQL Server ونسخته
بعد تطبيق تصحيح الأمان هذا، يجب إرجاع "7.00.1094" عند تشغيل إحدى عبارات SELECT التالية:
SELECT serverproperty('productversion')  
SELECT @@Version
مراجع
لمزيد من المعلومات حول تصحيح الأمان هذا، قم بزيارة موقع شركة Microsoft التالي على الويب:
خصائص

رقم الموضوع: 821279 - آخر مراجعة: 02/27/2014 21:19:09 - المراجعة: 7.1

Microsoft SQL Server 7.0 Service Pack 4, Microsoft Data Engine 1.0, Microsoft Data Engine 1.0

  • kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
تعليقات