Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

MS03-031: Összesített biztonsági javítás az SQL Server programhoz

Összefoglaló
A Microsoft biztonsági javítást adott ki az alábbi termékekben található biztonsági rések megszüntetésére:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
A biztonsági javítással megszüntetett biztonsági rések az alábbiak:
  • Named pipe eltérítése
    Az SQL Server indításkor létrehoz egy adott named pipe-ot, amelyen azt követően a kiszolgáló bejövő kapcsolatait figyeli. A named pipe egy speciális névvel rendelkező egy- vagy kétirányú csatorna, amely egy pipe-kiszolgáló és egy vagy több pipe-ügyfél között biztosít kommunikációt. Az SQL Server a named pipe ellenőrzésével megállapítja, hogy a kapcsolatok bejelentkezhetnek-e az SQL Server programot futtató rendszerbe annak érdekében, hogy a kiszolgálón tárolt adatokon lekérdezéseket futtassanak.

    A named pipe ellenőrzési módszerében egy hiba található, amely lehetővé teheti az esetleges támadónak – ebben az esetben az SQL Server programot futtató rendszer egy helyi felhasználójának –, hogy eltérítse a named pipe-ot (vagyis átvegye felette az irányítást), amikor egy másik ügyfél egy hitelesített jelszóval bejelentkezik. Ily módon a támadó ugyanazzal az engedélyszinttel kapja meg a named pipe vezérlését, mint a kapcsolódni próbáló felhasználó. Amennyiben a távolról csatlakozni kívánó felhasználó a támadóénál magasabb szintű jogosultságokkal rendelkezik, a támadó a named pipe feletti vezérlés megszerzésekor szert tesz ezekre.
  • Named pipe-alapú szolgáltatásmegtagadás
    A named pipe eltérítésével kapcsolatos fenti részben ismertetettekkel megegyező helyzetben a helyi intranetes hitelesítetlen felhasználók nagyon nagy méretű adatcsomagot küldhetnek annak a named pipe-nak, ahol az SQL Server szolgáltatást futtató számítógép figyelést végez, ezáltal megbénítva azt.

    Ez a biztonsági rés nem teszi lehetővé tetszőleges kód futtatását vagy az engedélyszint megemelését; azonban egy szolgáltatásmegtagadási állapot jön létre, amely a működés helyreállítása érdekében újraindítást tesz szükségessé.
  • Puffertúlcsordulás az SQL Server programban
    A Windows rendszer egyik függvényének hibája lehetővé teheti egy olyan hitelesített felhasználónak, aki az SQL Server programot futtató rendszerhez a bejelentkezést biztosító közvetlen hozzáféréssel rendelkezik, hogy egy speciálisan létrehozott adatcsomagot a rendszer helyi eljáráshívási (LPC-) portjára küldve puffertúlcsordulást okozzon. A biztonsági rés kiaknázása révén egy korlátozott engedélyekkel rendelkező felhasználó az SQL Server szolgáltatásfiókjának szintjére emelheti az engedélyeit, valamint tetszőleges kódot futtathat.
További információ
Ezekről a biztonsági résekről, illetve a megfelelő javítások beszerzéséről a Microsoft Tudásbázis alábbi cikkei közül az SQL Server Ön által használt verziójának megfelelő cikkben tájékozódhat:

SQL Server 2000 Service Pack 3 (SP3) vagy Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277
821277 MS03-031: Biztonsági javítás az SQL Server 2000 Service Pack 3 szervizcsomagjához

Fontos megjegyzések

Olvassa el az alábbi fontos megjegyzéseket a biztonsági javítás SQL Server 2000 SP3 programot futtató számítógépre való telepítésére vonatkozóan.
UDDI- (Universal Description, Discovery and Integration) szolgáltatások
Ha ezt a biztonsági javítást UDDI-szolgáltatásokat futtató Microsoft Windows Server 2003 rendszeren telepíti, a körülményektől függően két lehetséges művelet egyikével újra kell indítani az UDDI-szolgáltatásokat, mert addig azok nem fognak megfelelő módon működni.
  • Ha a Windows Server 2003 rendszerű számítógépen nem fut más egyéb webes szolgáltatás, akkor az UDDI-szolgáltatásokat a Microsoft Internet Information Services (IIS) szolgáltatás újraindításával indíthatja újra. Az IIS újraindítása egyenértékű az IIS leállításával és ezt követő újraindításával, azzal a különbséggel, hogy egyetlen paranccsal hajtható végre. Az IIS újraindítása két módon lehetséges:
    • Használhatja az IIS-kezelő grafikus felhasználói felületét.
    • Alkalmazhatja az IISReset parancssori segédprogramot.
  • Ha az említett számítógépen más webes szolgáltatások is futnak, célszerű úgy eljárni, hogy azok működésére ne legyen hatással a művelet. Az UDDI-szolgáltatások újraindítása a következőképpen lehetséges:
    1. Indítsa el az IIS-kezelő segédprogramot.
    2. Keresse meg az Alkalmazáskészletek mappát, majd kattintson a jobb gombbal az MSUDDIAppPool ikonra.
    3. Kattintással jelölje ki az Újrahasznosítás menüpontot. Ezzel a megoldással az UDDI-szolgáltatások a számítógépen futó egyéb webes szolgáltatások zavarása nélkül indíthatók újra.
Hibaüzenet jelenik meg, amikor named pipe-okkal csatlakozik Microsoft Windows NT 4.0 rendszerű számítógéphez
Ha egy Windows NT 4.0 rendszerű, Microsoft SQL Server 2000 programot futtató számítógéphez named pipe-ok használatával próbál kapcsolódni, és a kapcsolatot nem rendszergazdaként hozza létre, az alábbiak egyikéhez hasonló hibaüzenet jelenhet meg:
1. üzenet
A kapcsolat nem hozható létre. Az SQL-kiszolgáló nem létezik
2. üzenet
A kapcsolat nem hozható létre. A hozzáférés megtagadva.
A probléma megoldásához szükséges gyorsjavítás beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
823492 A kapcsolódás meghiúsulására utaló hibaüzenet jelenik meg, ha csatlakozik egy Windows NT 4.0 rendszerű, SQL Server 2000 vagy SQL Server 7.0 programot futtató számítógéphez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

SQL Server 2000 64-bites változat

821280 MS03-031: Biztonsági javítás az SQL Server 2000 64-bites változatához

SQL Server 7.0 Service Pack 4 (SP4) vagy Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Biztonsági javítás az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához

Fontos megjegyzések

Olvassa el az alábbi fontos megjegyzéseket a biztonsági javítás SQL Server 7.0 Service Pack 4 (SP4) programot futtató számítógépre való telepítésére vonatkozóan.
Hibaüzenet jelenik meg, amikor named pipe-okkal csatlakozik Microsoft Windows NT 4.0 rendszerű számítógéphez
Ha egy Windows NT 4.0 rendszerű, Microsoft SQL Server 2000 programot futtató számítógéphez named pipe-ok használatával próbál kapcsolódni, és a kapcsolatot nem rendszergazdaként hozza létre, az alábbiak egyikéhez hasonló hibaüzenet jelenhet meg:
1. üzenet
A kapcsolat nem hozható létre. Az SQL-kiszolgáló nem létezik
2. üzenet
A kapcsolat nem hozható létre. A hozzáférés megtagadva.
A probléma megoldásához szükséges gyorsjavítás beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
823492 A kapcsolódás meghiúsulására utaló hibaüzenet jelenik meg, ha csatlakozik egy Windows NT 4.0 rendszerű, SQL Server 2000 vagy SQL Server 7.0 programot futtató számítógéphez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
security patch
Tulajdonságok

Cikkazonosító: 815495 - Utolsó ellenőrzés: 07/04/2006 11:24:00 - Verziószám: 2.2

  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
  • kbbug kbfix kbsqlserv2000presp4fea kbqfe kbsqlserv700presp5fix KB815495
Visszajelzés