Al momento sei offline in attesa che la connessione Internet venga ristabilita

MS03-031: Patch di protezione cumulativa per SQL Server

Sommario
Microsoft ha rilasciato una patch di protezione per risolvere le vulnerabilità nei seguenti prodotti:
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 a 64 bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
Di seguito è riportato un elenco delle vulnerabilità risolte in questa patch di protezione:
  • Acquisizione del controllo della named pipe
    All'avvio di SQL Server viene creata una specifica named pipe analizzata in seguito dal programma per rilevare le connessioni in ingresso sul server. La named pipe è un canale unidirezionale o bidirezionale con un nome specifico per la comunicazione tra un server pipe e uno o più client pipe. Tale named pipe viene verificata per stabilire con quali connessioni è possibile effettuare l'accesso al sistema su cui viene eseguito SQL Server ed eseguire query sui dati memorizzati sul server.

    È tuttavia presente un difetto nel metodo di controllo della named pipe che potrebbe consentire a un utente malintenzionato interno al sistema su cui viene eseguito SQL Server di acquisire il controllo della named pipe nel momento in cui viene effettuato l'accesso con password di autenticazione da un altro client. In questo modo l'utente malintenzionato potrebbe acquisire il controllo della named pipe con lo stesso livello di autorizzazioni dell'utente che tenta di effettuare la connessione. Se l'utente che tenta di effettuare la connessione remota dispone di autorizzazioni di livello superiore rispetto a quelle dell'utente malintenzionato, quest'ultimo acquisirà tali diritti nel momento in cui la named pipe verrà compromessa.
  • Attacco di tipo Denial of Service alla named pipe
    Nello stesso scenario di named pipe illustrato precedentemente nella sezione "Acquisizione del controllo della named pipe", un utente non autenticato della rete Intranet locale potrebbe riuscire a inviare un pacchetto di grandi dimensioni a una determinata named pipe analizzata dal sistema su cui è in esecuzione SQL Server, causandone il blocco.

    Questa vulnerabilità non consente all'utente malintenzionato di eseguire codice arbitrario o di elevare il livello delle proprie autorizzazioni. Si può tuttavia verificare una condizione di Denial of Service in seguito alla quale sarà necessario il riavvio del server per ripristinarne le funzionalità.
  • Sovraccarico del buffer di SQL Server
    In una specifica funzione di Windows è presente un difetto che potrebbe consentire a un utente autenticato con accesso diretto al sistema su cui viene eseguito SQL Server di creare un pacchetto appositamente formulato che può causare un sovraccarico del buffer nel momento in cui viene inviato alla porta LPC (Local Procedure Call) di attesa del sistema. Se sfruttata, questa vulnerabilità può permettere a un utente con autorizzazioni limitate nel sistema di elevare il livello delle proprie autorizzazioni a quello dell'account dei servizi di SQL Server oppure può causare l'esecuzione di codice arbitrario.
Informazioni
Per ulteriori informazioni su queste vulnerabilità e su come ottenere le patch corrispondenti, selezionare l'articolo della Microsoft Knowledge Base appropriato per la versione di SQL Server in uso dall'elenco seguente.

SQL Server 2000 Service Pack 3 (SP3) o Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 MS03-031: Patch di protezione per SQL Server 2000 Service Pack 3

Note importanti

Leggere queste importanti note relative all'installazione della patch di protezione in un computer che esegue SQL Server 2000 SP3.
Servizi UDDI (Universal Description, Discovery, and Integration)
Se la patch di protezione viene installata su un computer con Microsoft Windows Server 2003 e i Servizi UDDI, è necessario effettuare una delle due operazioni indicate di seguito per riavviare i Servizi UDDI, a seconda delle circostanze. Solo in seguito verrà ripristinato il normale funzionamento dei Servizi UDDI.
  • Se nel computer che esegue Windows Server 2003 non è in uso nessun altro servizio Web, sarà possibile riavviare i Servizi UDDI riavviando Microsoft Internet Information Services (IIS). Il riavvio di IIS corrisponde all'interruzione di IIS e al successivo riavvio, con l'unica differenza che l'operazione viene effettuata con un unico comando. Per riavviare IIS, è possibile operare in due modi:
    • Utilizzare l'interfaccia grafica di Gestione IIS.
    • Utilizzare l'utilità della riga di comando IISReset.
  • Se nel computer che esegue Windows Server 2003 sono in uso altri servizi Web, è consigliabile non influire sul funzionamento di questi servizi. Per riavviare i servizi UDDI, attenersi alla seguente procedura:
    1. Avviare l'utilità Gestione IIS.
    2. Individuare la cartella Pool di applicazioni, quindi fare clic con il pulsante destro del mouse sull'icona MSUDDIAppPool.
    3. Selezionare l'opzione di menu Riciclo. I servizi UDDI potranno così riprendere a funzionare senza influire su altri servizi Web nel computer.
Visualizzazione di un messaggio di errore quando si effettua la connessione a un computer basato su Microsoft Windows NT 4.0 utilizzando named pipe
Quando si effettua la connessione a un computer basato su Windows NT 4.0 che esegue Microsoft SQL Server 2000 utilizzando named pipe e la connessione viene effettuata da un utente non amministratore, è possibile che venga visualizzato un messaggio di errore analogo a uno di quelli riportati di seguito:
Messaggio 1
Impossibile stabilire la connessione. Server SQL inesistente.
Messaggio 2
Impossibile stabilire la connessione. Accesso negato.
Per ottenere un hotfix per risolvere il problema relativo a questo messaggio di errore, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823492 Messaggio di errore "Connection Could Not Be Established" quando si stabilisce la connessione a un computer basato su Windows NT 4.0 che esegue SQL Server 2000 o SQL Server 7.0

SQL Server 2000 a 64 bit

821280 MS03-031: Patch di protezione per SQL Server 2000 64 bit

SQL Server 7.0 Service Pack 4 (SP4) o Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 MS03-031: Patch di protezione per SQL Server 7.0 Service Pack 4

Note importanti

Leggere queste importanti note sull'installazione della patch di protezione in un computer che esegue SQL Server 7.0 Service Pack 4 (SP4).
Visualizzazione di un messaggio di errore quando si effettua la connessione a un computer basato su Microsoft Windows NT 4.0 utilizzando named pipe
Quando si effettua la connessione a un computer basato su Windows NT 4.0 che esegue Microsoft SQL Server 2000 utilizzando named pipe e la connessione viene effettuata da un utente non amministratore, è possibile che venga visualizzato un messaggio di errore analogo a uno di quelli riportati di seguito:
Messaggio 1
Impossibile stabilire la connessione. Server SQL inesistente.
Messaggio 2
Impossibile stabilire la connessione. Accesso negato.
Per ottenere un hotfix per risolvere il problema relativo a questo messaggio di errore, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
823492 Messaggio di errore "Connection Could Not Be Established" quando si stabilisce la connessione a un computer basato su Windows NT 4.0 che esegue SQL Server 2000 o SQL Server 7.0
patch di protezione
Proprietà

ID articolo: 815495 - Ultima revisione: 07/10/2006 16:45:41 - Revisione: 2.2

  • Microsoft SQL Server 2000 64-bit Edition
  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
  • kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495
Feedback