MS03-031: Biztonsági javítás az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához

A cikket archiválták. A továbbiakban a tartalma már nem frissül, csak jelenlegi állapotában lesz elérhető.
Összefoglaló
A Microsoft Tudásbázis jelen cikke az SQL Server 7.0-s verziójának Service Pack 4 (SP4), valamint a Microsoft Data Engine 1.0-s verziójának SP4 szervizcsomagjához megjelent biztonsági javítást ismerteti. Ez a biztonsági javítás a Microsoft Tudásbázis alábbi cikkében ismertetett összes korábbi biztonsági javítást helyettesíti (beleértve az SQL Server 7.0-s verziójához kiadott, MS02-061-es számú Microsoft Security Bulletin cikkben ismertetett javítást is):
327068 Biztonsági frissítés az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fontos megjegyzések

Ez a csomag nem tartalmazza a Microsoft Data Access Components (MDAC) és az SQL Server Analysis Services szolgáltatás biztonsági javításait.

A javítás a következő biztonsági résekre jelent megoldást:
  • Named pipe eltérítése
    Az SQL Server indításkor létrehoz egy adott named pipe-ot, amelyen azt követően a kiszolgáló bejövő kapcsolatait figyeli. A named pipe egy speciális névvel rendelkező egy- vagy kétirányú csatorna, amely egy pipe-kiszolgáló és egy vagy több pipe-ügyfél között biztosít kommunikációt. Az SQL Server a named pipe ellenőrzésével megállapítja, hogy a kapcsolatok bejelentkezhetnek-e az SQL Server programot futtató rendszerbe annak érdekében, hogy a kiszolgálón tárolt adatokon lekérdezéseket futtassanak.

    A named pipe ellenőrzési módszerében egy hiba található, amely lehetővé teheti az esetleges támadónak – ebben az esetben az SQL Server programot futtató rendszer egy helyi felhasználójának –, hogy eltérítse a named pipe-ot (vagyis átvegye felette az irányítást), amikor egy másik ügyfél egy hitelesített jelszóval bejelentkezik. Ily módon a támadó ugyanazzal az engedélyszinttel kapja meg a named pipe feletti irányítást, mint a kapcsolódni próbáló felhasználó. Amennyiben a távolról csatlakozni kívánó felhasználó a támadóénál magasabb szintű jogosultságokkal rendelkezik, a támadó a named pipe feletti vezérlés megszerzésekor szert tesz ezekre.
  • Named pipe-alapú szolgáltatásmegtagadás
    A named pipe eltérítésével kapcsolatos fenti részben ismertetettekkel megegyező helyzetben a helyi intranetes hitelesítetlen felhasználók nagyon nagy méretű adatcsomagot küldhetnek annak a named pipe-nak, ahol az SQL Server szolgáltatást futtató rendszer figyelést végez, ezáltal megbénítva azt.

    A biztonsági rés nem teszi lehetővé a támadónak tetszőleges kód futtatását és magasabb szintű jogosultságok megszerzését, ám szolgáltatásmegtagadás így is felléphet, ennek következtében pedig a működés visszaállításához újra kell indítani a kiszolgálót.
  • Puffertúlcsordulás az SQL Server programban
    A Windows rendszer egyik függvényének hibája lehetővé teheti egy olyan hitelesített felhasználónak, aki az SQL Server programot futtató rendszerhez a bejelentkezést biztosító közvetlen hozzáféréssel rendelkezik, hogy egy speciálisan létrehozott adatcsomagot a rendszer helyi eljáráshívási (LPC-) portjára küldve puffertúlcsordulást okozzon. A biztonsági rés kiaknázása révén egy korlátozott engedélyekkel rendelkező felhasználó az SQL Server szolgáltatásfiókjának szintjére emelheti az engedélyeit, valamint tetszőleges kódot futtathat.
További információ

Fontos megjegyzések

Olvassa el az alábbi fontos megjegyzéseket a biztonsági javítás SQL Server 7.0 SP4 programot futtató számítógépre való telepítésére vonatkozóan.

Hibaüzenet jelenik meg, amikor named pipe-okkal csatlakozik Microsoft Windows NT 4.0 rendszerű számítógéphez

Ha egy Windows NT 4.0 rendszerű, Microsoft SQL Server 2000 programot futtató számítógéphez named pipe-ok használatával próbál kapcsolódni, és a kapcsolatot nem rendszergazdaként hozza létre, az alábbiak egyikéhez hasonló hibaüzenete jelenhet meg:
1. üzenet
A kapcsolat nem hozható létre. Az SQL-kiszolgáló nem létezik.
2. üzenet
A kapcsolat nem hozható létre. A hozzáférés megtagadva.
A probléma megoldásához szükséges gyorsjavítás beszerzéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
823492 A kapcsolódás meghiúsulására utaló hibaüzenet jelenik meg, ha csatlakozik egy Windows NT 4.0 rendszerű, SQL Server 2000 vagy SQL Server 7.0 programot futtató számítógéphez (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Előfeltételek

A biztonsági javításhoz az SQL Server 7.0-s verziójának SP4 szervizcsomagja szükséges.

A Microsoft Tudásbázis kapcsolódó cikke:
301511 Az SQL Server 7.0 alkalmazás legújabb szervizcsomagjának beszerzése (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
Az SQL Server 7.0 fürtözött példányai esetén először nem fürtözötté kell tenni az SQL Server szolgáltatást: ehhez valamennyi virtuális SQL Server kiszolgáló elsődleges fürtcsomópontjából futtassa az SQL Server Failover Wizard varázslót.
Aktív/aktív üzemmód
Aktív/aktív üzemmódú példány esetén a következőket kell tennie:
  1. Győződjön meg arról, hogy az SQL Server 7.0 telepítéséhez eredetileg használt számítógép-csomópont az SQL Server mindkét erőforráscsoportját ellenőrzi.
  2. A fürt valamennyi csomópontján futtassa a Failover Setup Wizard varázsló-segédprogramot, és segítségével távolítsa el a virtuális SQL Server kiszolgálót.
  3. Az SQL Server fürtözetlenné tétele után futtassa a gyorsjavítás futtatható fájlját mindkét csomóponton, és az SQL Server újrafürtözését megelőzően hajtsa végre a gyorsjavítás teljes telepítését.
Aktív/passzív üzemmód
Aktív/passzív üzemmódú példány esetén az alábbiak szerint járjon el:
  1. Győződjön meg arról, hogy az SQL Server 7.0 telepítéséhez eredetileg használt számítógép-csomópont az SQL Server mindkét erőforráscsoportját ellenőrzi.
  2. Ugyanezen a csomóponton futtassa a Failover Setup Wizard varázsló-segédprogramot, és segítségével távolítsa el a virtuális SQL Server kiszolgálót.
  3. Az SQL Server fürtözetlenné tétele után csak az elsődleges fürtön futtassa a gyorsjavítás futtatható fájlját, és az SQL Server újrafürtözését megelőzően hajtsa végre a gyorsjavítás teljes telepítését.

Letöltési információk

A következő fájl letölthető a Microsoft letöltőközpontjából:
Kiadás dátuma: 2003. július 23.

A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével
A Microsoft a kiadás napján rendelkezésre álló legújabb víruskereső szoftverrel ellenőrizte a fájl vírusmentességét. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.

Telepítési információk

A biztonsági javítás a következő telepítési kapcsolókat támogatja:
KapcsolóLeírás
/sLetiltja az önkicsomagolási folyamat előrehaladását jelző Self Extraction párbeszédpanelt. Meg kell előznie a /a kapcsolót.
/aEnnek a paraméternek az összes többi előtt kell szerepelnie, kivéve a /s kapcsolót, ha a gyorsjavítást az önkicsomagoló EXE fájllal telepíti, és meg kívánja adni a felügyelet nélküli telepítés paramétereit. Ezt a paramétert kötelező megadni a telepítő felügyelet nélküli üzemmódban való futtatásához.
/qA kapcsoló hatására a telepítőprogram csendes üzemmódban, felhasználói felület nélkül fut.
BLANKSAPWD Ezzel a paraméterrel beállíthatja, hogy az SQL-alapú hitelesítéshez ne legyen megadva rendszergazdai jelszó. Amennyiben Windows NT vagy Windows 2000 rendszert futtató számítógépeken megadja ezt a paramétert, a rendszer felülbírálja az alapértelmezett Windows-hitelesítésre épülő bejelentkezést, és üres rendszergazdai jelszóval próbál meg bejelentkezni. A paraméter helyes formátuma a következő: BLANKSAPWD=1. Ez a paraméter csak felügyelet nélküli telepítés esetén használható.
SAPWDNem üres rendszergazdai jelszó. Ha megadja ezt a paramétert, használja az SAPWD=rendszergazdai_jelszó formátumot. Ha Windows NT vagy Windows 2000 rendszerű számítógépeken megadja ezt a paramétert, a rendszer felülbírálja az alapértelmezett Windows-hitelesítést, illetve a BLANKSAPWD kapcsolót.
A Microsoft Tudásbázis kapcsolódó cikke:
330391 Az SQL Server gyorsjavítás-telepítője (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Újraindítási követelmény

A biztonsági javítás telepítését követően nincs szükség a számítógép újraindítására, hacsak a gyorsjavítás-telepítő ezt külön nem kéri.

Eltávolítási információk

A biztonsági javítás csak akkor távolítható el, ha annak telepítése előtt egyes katalógusokról biztonsági másolatot készített. További információt a Microsoft Tudásbázis következő cikkének „How to Remove or Rollback the Hotfix” (Gyorsjavítás eltávolítása vagy visszaállítása) című szakaszában olvashat:
330391 Az SQL Server gyorsjavítás-telepítője (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Biztonsági javítások helyettesítése

Ez a biztonsági javítás a Microsoft Tudásbázis alábbi cikkében ismertetett összes korábbi biztonsági javítást helyettesíti (beleértve az SQL Server 7.0-s verziójához kiadott, MS02-061-es számú Microsoft Security Bulletin cikkben ismertetett javítást is):
327068 Biztonsági frissítés az SQL Server 7.0-s verziójának Service Pack 4 szervizcsomagjához (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Fájlinformációk

A biztonsági javítás angol nyelvű változatában található fájlok a következő táblázatban ismertetett (vagy azoknál újabb) fájlattribútumokkal rendelkeznek. A fájlok dátuma és időpontja az egyezményes világidő (UTC) szerint van megadva. A fájlinformáció megtekintése során a dátumokat és az időpontokat helyi időre konvertálja a rendszer. A helyi idő és az egyezményes világidő közötti különbségről a Vezérlőpultról elérhető Dátum és idő párbeszédpanel Időzóna lapján tájékozódhat.
   Dátum        Idő    Verzió            Méret    Fájlnév   -----------------------------------------------------------------   2002.10.04.  23:59  2000.34.4.0        28 944  Dbmssocn.dll        2002.09.06.  23:55  2000.33.6.0        53 520  Distrib.exe         2002.09.06.  23:55  2000.33.6.0        98 576  Logread.exe         2003.05.05.  18:34                     54 904  Opends60.dbg   2003.05.05.  18:34  2000.41.2.0       155 920  Opends60.dll        2003.05.05.  18:34                    132 096  Opends60.pdb   2002.09.06.  23:56  2000.33.6.0       250 128  Rdistcom.dll        2002.09.06.  23:55  2000.33.6.0        82 192  Replmerg.exe        2002.09.06.  23:56  2000.33.6.0        78 096  Replres.dll         2002.09.17.  22:52                      7 941  Securityhotfix.sql   2002.09.06.  23:56  2000.33.6.0       160 016  Snapshot.exe        2003.05.30.  04:21                     59 214  Sp4_serv_uni.sql   2003.01.15.  01:33  2000.37.13.0      344 064  Sqlagent.exe        2002.09.06.  23:55  2000.33.6.0        45 056  Logread.exe         2003.05.16.  00:18  2000.41.14.0    2 629 632  Sqldmo.dll          2003.05.16.  13:29  2000.41.14.0       81 920  Sqlmap70.dll        2003.05.29.  23:11                  4 370 404  Sqlservr.dbg   2003.05.30.  02:44  2000.41.28.0    5 062 928  Sqlservr.exe        2003.05.29.  23:11                  3 589 120  Sqlservr.pdb   2002.10.04.  23:59  2000.34.4.0        45 328  Ssmsso70.dll        2003.05.16.  00:18  2000.41.14.0       24 848  Ssnmpn70.dll          2002.09.26.  20:30                     28 408  Ums.dbg   2002.09.26.  20:27  2000.33.25.0       57 616  Ums.dll             2002.09.26.  20:29                     99 328  Ums.pdb   2003.05.16.  13:31  2000.41.14.0      151 552  Xpweb70.dll

Ellenőrzés

A számítógépen futó SQL Server szolgáltatás verziójának megállapításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
321185 Az SQL Server alkalmazás verziójának és kiadásának megállapítása (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A biztonsági javítás telepítése után az alábbi SELECT utasítások egyikének futtatásakor a „7.00.1094” eredménynek kell megjelennie:
SELECT serverproperty('productversion') 
SELECT @@Version
Hivatkozások
A javításról a Microsoft alábbi webhelyén tájékozódhat:
Tulajdonságok

Cikkazonosító: 821279 - Utolsó ellenőrzés: 02/27/2014 02:14:25 - Verziószám: 7.1

  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
  • kbnosurvey kbarchive kbbug kbfix kbsqlserv700presp5fix atdownload KB821279
Visszajelzés