MS03-031: SQL Server 2000 Service Pack 3 -tietoturvakorjaus

Tämä artikkeli on arkistoitu. Se tarjotaan "sellaisenaan", eikä sitä päivitetä enää.
Yhteenveto
Microsoft toimittaa SQL Server 2000:n tietoturvakorjaukset yhtenä ladattavana tiedostona. Koska tietoturvakorjaukset ovat kumulatiivisia, jokainen uusi versio sisältää kaikki edelliseen SQL Server 2000:n tietoturvakorjaukseen sisältyneet korjaukset. Aikaisempaa tietoturvakorjausta ei tarvitse asentaa ennen uusimman tietoturvakorjauksen asentamista.

Saat lisätietoja uusimmasta Microsoft SQL Server 2000 Service Pack -paketista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
290211 Uusimman SQL Server 2000 Service Pack -paketin hankkiminen (tämä artikkeli saattaa olla englanninkielinen)
ESITTELY
Tämä Microsoft Knowledge Base -artikkeli sisältää luettelon kaikista SQL Server 2000 Service Pack 3:a (SP3), SQL Server 2000 Service Pack 3a:ta (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3:a (SP3) ja SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a:ta (SP3a) varten saatavilla olevista tietoturvakorjauksista.

Tärkeitä huomautuksia

 • Tämä kumulatiivinen paketti ei sisällä Microsoft Data Access Componentsin (MDAC) ja Analysis Servicesin tietoturvakorjauksia.

Seuraavassa on luettelo tämän tietoturvakorjauksen korjaamista heikkouksista:
 • Nimetyn putken kaappaaminen
  Kun SQL Server käynnistyy, se luo palvelimeen tuleville yhteyksille tietyn nimetyn putken ja tarkkailee sitä. Nimetty putki on erityisesti nimetty yksi- tai kaksisuuntainen tietoliikennekanava putkipalvelimen ja yhden tai useamman putkiasiakkaan välillä. SQL Server tarkistaa nimetyn putken ja tarkistaa, mitkä yhteydet pystyvät kirjautumaan SQL Server -palvelinta suorittavaan järjestelmään suorittamaan kyselyitä palvelimeen tallennetuista tiedoista.

  Nimetyn putken tarkistustavassa on virhe, jonka avulla SQL Server -palvelimen paikallinen hyökkääjä saattaa pystyä kaappaamaan (ottamaan haltuunsa) nimetyn putken, kun toinen asiakas käyttää todennettua kirjautumissalasanaa kirjautumisessa. Tämän myötä hyökkääjä saisi nimetyn putken haltuunsa samassa käyttöoikeustasossa kuin käyttäjä, joka yrittää muodostaa yhteyttä. Jos etäyhteyden muodostamista yrittävällä käyttäjällä on suurempi käyttöoikeustaso kuin hyökkääjällä, hyökkääjä saa kyseiset käyttöoikeudet itselleen, jos hän onnistuu kaappaamaan nimetyn putken itselleen.
 • Nimetyn putken palvelunesto
  Tämän artikkelin Nimetyn putken kaappaaminen -kohdassa kuvatussa hyökkäystilanteessa todentamaton paikallinen intranet-käyttäjä saattaa pystyä lähettämään hyvin suuren paketin määritettyyn nimettyyn putkeen, jota SQL Server -palvelinta suorittava järjestelmä seuraa, ja näin jumiuttamaan järjestelmän.

  Tämä heikkous ei anna hyökkääjän suorittaa haluamaansa koodia tai nostaa käyttöoikeuksiensa tasoa. Palvelunestotilan vuoksi palvelin saatetaan kuitenkin joutua käynnistämään uudelleen, jotta se voi jatkaa toimintaa.
 • SQL Server -palvelimen puskurin ylivuoto
  Tietyssä Windows-toiminnossa on virhe, jonka avulla suorassa yhteydessä oleva SQL Server -palvelinta suorittavaan järjestelmään kirjautumaan pystyvä todentamaton käyttäjä saattaa pystyä luomaan erityisesti muotoillun paketin, jonka lähettäminen järjestelmän tarkkailemaan LPC-porttiin saattaa aiheuttaa puskurin ylivuodon. Jos tätä virhettä onnistutaan hyödyntämään onnistuneesti, järjestelmässä rajoitetut käyttöoikeudet omistava käyttäjä saattaa pystyä nostamaan käyttöoikeustasoaan SQL Server -tilin tasolle tai suorittamaan haluamaansa koodia.

SQL Server kysyy salasanaa sen jälkeen, kun "MS03-031: SQL Serverin kumulatiivinen tietoturvakorjaustiedosto" -korjaus on asennettu

Kun olet asentanut "MS03-031: SQL Serverin kumulatiivinen tietoturvakorjaustiedosto" -korjauksen ja tehnyt muutoksia SQL Serverin vakiokirjautumistapaan Enterprise Managerin avulla, SQL Server kysyy salasanaa, vaikka et ole vaihtanut salasanaa. Jos et vaihtanut salasanaa, valintaikkunan sulkeminen ei onnistu riippumatta siitä, mitä siihen kirjoitat. Voit korjata tämän ongelman lataamalla ja asentamalla seuraavassa Microsoft Knowledge Base -artikkelissa kuvatun korjaustiedoston:
826161 Korjaus: Salasanavahvistusta kysytään SQL Serverin vakiokirjautumistavan muuttamisen jälkeen (tämä artikkeli saattaa olla englanninkielinen)
Enemmän tietoa

Tärkeitä huomautuksia

Lue nämä tärkeät huomautukset tämän korjaustiedoston asentamisesta tietokoneeseen, jossa SQL Server 2000 SP3 -palvelin suoritetaan.

UDDI Services (Universal Description, Discovery and Integration) -palvelut

Jos asennat tämän tietoturvakorjauksen Microsoft Windows Server 2003 -tietokoneeseen, johon on asennettu UDDI Services -palvelut, sinun on tehtävä tilanteen mukaan jompikumpi vaadittavista toimista UDDI Services -palveluiden uudelleenkäynnistämiseksi. UDDI Services -palvelut eivät jatka normaalia toimintaansa, ennen kuin teet vaadittavan toimen.
 • Jos mikään muu Web-palvelu ei ole käytössä Windows Server 2003 -tietokoneessa, voit käynnistää UDDI Services -palvelut uudelleen käynnistämällä Microsoft Internet Information Services (IIS) -palvelut uudelleen. IIS-palveluiden uudelleenkäynnistäminen vastaa sitä, että palvelut pysäytetään ja käynnistetään uudelleen, mutta se suoritetaan yksittäisellä komennolla. IIS-palvelut voidaan käynnistää uudelleen kahdella tavalla:
  • IIS Manager -apuohjelman graafisen käyttöliittymän avulla
  • IISReset-komentoriviapuohjelman avulla.
 • Jos Windows Server 2003 -tietokoneessa on käynnissä muita Web-palveluita, et välttämättä halua niiden toiminnan keskeytyvän. Voit käynnistää UDDI Services -palvelut uudelleen seuraavasti:
  1. Käynnistä IIS Manager -apuohjelma.
  2. Etsi Application Pools -kansio ja napsauta MSUDDIAppPool-kuvaketta hiiren kakkospainikkeella.
  3. Valitse valikosta kierrätysvaihtoehto (Siirrä roskakoriin). Tällöin UDDI Services -palvelut voivat jatkaa toimintaansa niin, että se ei vaikuta tietokoneen muihin Web-palveluihin.

Virhesanoma yrittäessäsi muodostaa yhteyden Microsoft Windows NT 4.0 -tietokoneeseen nimettyjen putkien avulla

Kun muodostat yhteyden käyttäen nimettyjä putkia Windows NT 4.0 -tietokoneeseen, jossa Microsoft SQL Server 2000 käynnissä, ja yhteys muodostetaan ilman järjestelmänvalvojan oikeuksia, näyttöön tulee seuraavankaltainen virhesanoma:

Sanoma 1
Yhteyttä ei voitu muodostaa. SQL Server -palvelinta ei ole.
Sanoma 2
Yhteyttä ei voitu muodostaa. Käyttö estetty.
Jos haluat hankkia tämän virhesanoman ilmaiseman virhetilanteen estävän korjaustiedoston, lue seuraava Microsoft Knowledge Base -tietokannan artikkeli:
823492 Yhteyttä ei voitu muodostaa -virhesanoma yritettäessä muodostaa yhteyttä SQL Server 2000:ta tai SQL Server 7.0:aa suorittavaan Windows NT 4.0 -tietokoneeseen (tämä artikkeli saattaa olla englanninkielinen)

Lataamistiedot

Voit ladata seuraavan tiedoston Microsoft Download Centeristä:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Julkaisupäivämäärä: 23.7.2003

Lisätietoja Microsoft-tukitiedostojen lataamisesta ja asentamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
119591 Microsoft-tukitiedostojen hankkiminen online-palveluista
Microsoft on tarkistanut tämän tiedoston virusten varalta. Microsoft käytti viimeisintä virustentarkistusohjelmaa, joka oli saatavana tiedoston julkaisupäivänä. Tiedosto on tallennettu suojattuihin palvelimiin, joten sitä ei voi muokata luvattomasti.

Edellytykset

Tämä suojauskorjaus vaatii SQL Server 2000 Service Pack 3:n (SP3) tai Service Pack 3a:n (SP3a). Microsoft suosittelee SQL Server 2000 Service Pack 3a:ta.

Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
290211 Uusimman SQL Server 2000 Service Pack -paketin hankkiminen (tämä artikkeli saattaa olla englanninkielinen)
Huomautus Jos et ole asentanut Microsoftin tietoturvatiedotteen MS03-031 tietoturvakorjausta, lataa ja asenna seuraavassa Microsoft Knowledge Base -artikkelissa saatavana oleva tiedosto:
826161 Korjaus: Salasanavahvistusta kysytään SQL Serverin vakiokirjautumistavan muuttamisen jälkeen (tämä artikkeli saattaa olla englanninkielinen)

Asennustiedot

Tämä tietoturvakorjaus tukee seuraavia asennusohjelman valitsimia:
ValitsinKuvaus
sPoistaa automaattisen purkamisen edistymisen valintaikkunan käytöstä. Tämän on tultava ennen valitsinta /a .
/aTämän parametrin on tultava ennen kaikkia muita parametreja valitsinta /s lukuun ottamatta, jos suoritat hotfix-korjaustiedostoa käyttämällä itsepurkautuvaa .exe-tiedostoa ja haluat sisällyttää valvomattomien asennusten parametrit. Tämä on pakollinen parametri, joka vaaditaan, jotta asennusohjelma voi toimia valvomattomassa tilassa.
/qTämä valitsin aiheuttaa sen, että asennusohjelma toimii hiljaisessa tilassa ilman käyttöliittymää.
INSTANCENAMESQL Serverin esiintymän nimi. Nimi on annettava seuraavassa muodossa:

INSTANCENAME=esiintymänimesi
BLANKSAPWDTarkoittaa tyhjää sa-salasanaa SQL-todennusta varten. Jos annat tämän parametrin Microsoft Windows NT- tai Microsoft Windows 2000 -tietokoneissa, Windowsin oletustodennuksen kirjautumisnimi ohitetaan ja se yrittää kirjautua tyhjällä sa-salasanalla. Tämän parametrin oikea muoto on BLANKSAPWD=1. Tämä parametri tunnistetaan vain valvomattomien asennusten yhteydessä.
SAPWDMuu kuin tyhjä sa-salasana. Jos käytät tätä parametria, se tulee määrittää muodossa SAPWD=omasalasana. Tämä parametri ohittaa Windowsin oletustodennuksen tietokoneissa, joiden käyttöjärjestelmänä on Windows NT tai Windows 2000. Tämä parametri voi myös ohittaa mahdollisesti annetun BLANKSAPWD-parametrin.
Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
330391 SQL Serverin korjaustiedostojen asennusohjelma (tämä artikkeli saattaa olla englanninkielinen)

Uudelleenkäynnistysvaatimus

Sinun ei tarvitse käynnistää tietokonetta uudelleen tämän tietoturvakorjauksen asentamisen jälkeen, ellei korjaustiedostojen asennusohjelma kehota tekemään niin.

Poistamistiedot

Tämän korjaustiedoston poistamista ei tueta, ellei tiettyjä luetteloita varmuuskopioitu ennen tämän tietoturvakorjauksen asennusta. Lue lisätietoja seuraavan Microsoft Knowledge Base -tietokannan artikkelin korjaustiedoston poistamista tai sitä edeltävään tilaan palauttamista käsittelevästä osasta:
330391 SQL Serverin korjaustiedostojen asennusohjelma (tämä artikkeli saattaa olla englanninkielinen)

Tietoturvakorjaustiedoston korvaustiedot

Tämä tietoturvakorjaustiedosto ei korvaa mitään muita SQL Server 2000 Service Pack 3:n (SP3) tietoturvakorjaustiedostoja.

Tiedostojen tiedot

Tämän tietoturvakorjauksen englanninkielisessä versiossa on seuraavassa taulukossa luetellut tiedostomääritteet (tai uudemmat). Tiedostojen päivämäärät ja kellonajat ovat UTC (Coordinated Universal Time) -ajan mukaisia. Kun tarkastelet tiedoston tietoja, sen aika muunnetaan paikalliseksi ajaksi. Voit selvittää UTC-ajan ja paikallisen ajan välisen eron Ohjauspaneelin Päivämäärä ja aika -työkalun Aikavyöhyke-välilehdessä.
  Päiväys     Aika  Versio       Koko     Tiedostonimi ---------------------------------------------------------------------------- 31.5.2003 18:45 2000.80.818.0   78,400 tavua Console.exe 25.6.2003 01:01 2000.80.818.0   33,340 tavua Dbmslpcn.dll 25.4.2003 02:12          786,432 tavua Distmdl.ldf 25.4.2003 02:12         2,359,296 tavua Distmdl.mdf 30.1.2003 01:55            180 tavua Drop_repl_hotfix.sql 7.4.2003 19:15 2000.80.801.0  1,557,052 tavua Dtsui.dll 24.4.2003 02:51          747,927 tavua Instdist.sql 3.5.2003 01:56           1,581 tavua Inst_repl_hotfix.sql 8.2.2003 06:40 2000.80.765.0   90,692 tavua Msgprox.dll 1.4.2003 02:07           1,873 tavua Odsole.sql 7.5.2000 07:04           1,873 tavua Odsole.sql 2.4.2003 21:48 2000.80.796.0   57,904 tavua Osql.exe 2.4.2003 23:15 2000.80.797.0   279,104 tavua Pfutil80.dll 4.4.2003 21:27         1,083,467 tavua Replmerg.sql 4.4.2003 21:53 2000.80.798.0   221,768 tavua Replprov.dll 8.2.2003 06:40 2000.80.765.0   307,784 tavua Replrec.dll 5.5.2003 00:05         1,085,874 tavua Replsys.sql 31.5.2003 01:01 2000.80.818.0   492,096 tavua Semobj.dll 31.5.2003 18:27 2000.80.818.0   172,032 tavua Semobj.rll 29.5.2003 00:29          115,944 tavua Sp3_serv_uni.sql 1.6.2003 01:01 2000.80.818.0  4,215,360 tavua Sqldmo.dll 7.4.2003 17:44           25,172 tavua Sqldumper.exe 19.3.2003 18:20 2000.80.789.0   28,672 tavua Sqlevn70.rll 24.4.2003 05:39 2000.80.811.0   176,696 tavua Sqlmap70.dll 8.2.2003 06:40 2000.80.765.0   57,920 tavua Sqlrepss.dll 1.6.2003 01:02 2000.80.818.0  7,544,916 tavua Sqlservr.exe 1.6.2003 01:02         12,739,584 tavua Sqlservr.pdb 8.2.2003 06:40 2000.80.765.0   45,644 tavua Sqlvdi.dll 25.6.2003 01:01 2000.80.818.0   33,340 tavua Ssmslpcn.dll 1.6.2003 01:01 2000.80.818.0   82,492 tavua Ssnetlib.dll 1.6.2003 01:01 2000.80.818.0   25,148 tavua Ssnmpn70.dll 1.6.2003 01:01 2000.80.818.0   158,240 tavua Svrnetcn.dll 31.5.2003 18:59 2000.80.818.0   76,416 tavua Svrnetcn.exe 30.4.2003 23:52 2000.80.816.0   45,132 tavua Ums.dll 30.4.2003 23:52          132,096 tavua Ums.pdb 28.2.2003 01:34 2000.80.778.0   98,872 tavua Xpweb70.dll

Tarkistus

Voit selvittää käytössä olevan SQL Server -version käyttämällä apuna seuraavan Microsoft Knowledge Base -artikkelin tietoja:
321185 SQL Server Service Packin version selvittäminen (tämä artikkeli saattaa olla englanninkielinen)
Kun olet asentanut tämän tietoturvakorjauksen, suorita jokin seuraavista:
SELECT serverproperty('productversion') 

SELECT @@Version
Tuloksen pitäisi olla seuraava:
8.00.818
Suositukset
Lisätietoja tästä tietoturvakorjauksesta on seuraavassa Microsoftin tietoturvatiedotteessa: Saat lisätietoja napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
824684 Microsoftin ohjelmistopäivitystiedoissa käytettävien vakiotermien kuvaus
Ominaisuudet

Artikkelin tunnus: 821277 – Viimeisin tarkistus: 12/08/2015 02:48:21 – Versio: 7.2

Microsoft SQL Server 2000 Service Pack 3, Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3, Microsoft SQL Server 2000 Service Pack 3a, Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a

 • kbnosurvey kbarchive atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
Palaute