Al momento sei offline in attesa che la connessione Internet venga ristabilita

MS03-031: Patch di protezione per SQL Server 2000 Service Pack 3

Sommario
Le patch di protezione per SQL Server 2000 vengono distribuite all'interno di un unico file scaricabile. In quanto cumulative, ogni nuova versione contiene tutti gli aggiornamenti rapidi e tutte le patch di protezione inclusi nella versione precedente della patch di protezione di SQL Server 2000. Non è pertanto necessario installare le versioni precedenti delle patch di protezione prima di installare la patch più recente.

Per ulteriori informazioni sul service pack più aggiornato per Microsoft SQL Server 2000, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290211 Come ottenere il service pack più recente per SQL Server 2000
INTRODUZIONE
In questo articolo della Microsoft Knowledge Base è riportato l'elenco di tutte le patch di protezione disponibili per SQL Server 2000 Service Pack 3 (SP3), SQL Server 2000 Service Pack 3a (SP3a), SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) e SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Note importanti

  • Questo pacchetto cumulativo non contiene le correzioni di protezione disponibili in Microsoft Data Access Components (MDAC) e Analysis Services.

Di seguito è riportato un elenco dei problemi di vulnerabilità risolti con questa patch di protezione:
  • Acquisizione del controllo della named pipe
    All'avvio di SQL Server viene creata una specifica named pipe analizzata in seguito dal programma per rilevare le connessioni in ingresso sul server. La named pipe è un canale unidirezionale o bidirezionale con un nome specifico per la comunicazione tra un server pipe e uno o più client pipe. Tale named pipe viene verificata per stabilire con quali connessioni è possibile effettuare l'accesso al sistema su cui viene eseguito SQL Server ed eseguire query sui dati memorizzati sul server.

    È tuttavia presente un difetto nel metodo di controllo della named pipe che potrebbe consentire a un utente malintenzionato interno al sistema su cui viene eseguito SQL Server di acquisire il controllo della named pipe nel momento in cui da un altro client viene effettuato l'accesso con password di autenticazione. In questo modo l'utente malintenzionato potrebbe acquisire il controllo della named pipe con lo stesso livello di autorizzazioni dell'utente che tenta di effettuare la connessione. Se l'utente che tenta di effettuare la connessione remota dispone di autorizzazioni di livello superiore rispetto a quelle dell'utente malintenzionato, quest'ultimo acquisirà tali diritti nel momento in cui la named pipe viene compromessa.
  • Attacco di tipo Denial of Service alla named pipe
    Nello stesso scenario di named pipe illustrato precedentemente nella sezione "Acquisizione del controllo della named pipe", un utente non autenticato della rete locale Intranet potrebbe riuscire a inviare un pacchetto di grandi dimensioni a una determinata named pipe analizzata dal sistema su cui è in esecuzione SQL Server, causandone il blocco.

    Questa vulnerabilità non consente all'utente malintenzionato di eseguire codice arbitrario o elevare il livello delle proprie autorizzazioni. Si può tuttavia verificare una condizione di Denial of Service in seguito alla quale sarà necessario il riavvio del server per ripristinarne le funzionalità.
  • Sovraccarico del buffer di SQL Server
    In una specifica funzione di Windows è presente un difetto che potrebbe consentire a un utente autenticato con accesso diretto al sistema su cui viene eseguito SQL Server di creare un pacchetto appositamente formulato che può causare un sovraccarico del buffer nel momento in cui viene inviato alla porta LPC (Local Procedure Call) di attesa del sistema. Se sfruttata, questa vulnerabilità può permettere a un utente con autorizzazioni limitate nel sistema di elevare il livello delle proprie autorizzazioni a quello dell'account dei servizi di SQL Server oppure può causare l'esecuzione di codice arbitrario.

Dopo l'installazione di MS03-031: Patch di protezione cumulativa per SQL Server, in SQL Server verrà richiesta una password

Dopo avere installato "MS03-031: Patch cumulativa per SQL Server", alla modifica di un accesso standard a SQL Server mediante Enterprise Manager, verrà richiesta la password anche qualora questa non sia stata modificata. Nel caso in cui la password non sia stata modificata, non si potrà chiudere la finestra di dialogo indipendentemente dalla stringa immessa. Per risolvere questo problema o evitare che si presenti, scaricare e installare la correzione inclusa nel seguente articolo della Microsoft Knowledge Base:
826161 FIX: Dopo che si è modificato un account di accesso standard a SQL Server viene richiesta la conferma della password
Informazioni

Note importanti

Leggere attentamente le note riportate di seguito relative all'installazione della patch in un computer con SQL Server 2000 SP3.

Servizi UDDI (Universal Description, Discovery, and Integration)

Se la patch di protezione viene installata in un computer con Microsoft Windows Server 2003 e i Servizi UDDI, è necessario effettuare una delle due operazioni indicate di seguito per riavviare i Servizi UDDI, a seconda delle circostanze. Solo in seguito verrà ripristinato il normale funzionamento dei Servizi UDDI.
  • Se sul computer con Windows Server 2003 non è in uso alcun altro servizio Web, sarà possibile riavviare i Servizi UDDI riavviando Microsoft Internet Information Services (IIS). Il riavvio di IIS corrisponde a un'interruzione e a un successivo riavvio di IIS, con l'unica differenza che l'operazione viene effettuata con un solo comando. Per riavviare IIS è possibile operare in due modi:
    • Utilizzando l'interfaccia grafica di Gestione IIS.
    • Utilizzando l'utilità della riga di comando IISReset.
  • Se sul computer con Windows Server 2003 sono in uso altri servizi Web, può essere consigliabile non influire sul funzionamento di questi servizi. Per riavviare i servizi UDDI, attenersi alla seguente procedura:
    1. Avviare l'utilità Gestione IIS.
    2. Individuare la cartella Pool di applicazioni, quindi fare clic con il pulsante destro del mouse sull'icona MSUDDIAppPool.
    3. Selezionare l'opzione di menu Riciclo. I servizi UDDI potranno così riprendere a funzionare senza influire su altri servizi Web del computer.

Visualizzazione di un messaggio di errore quando si effettua la connessione a un computer con Microsoft Windows NT 4.0 utilizzando named pipe

Quando viene effettuata la connessione a un computer con Windows NT 4.0 e Microsoft SQL Server 2000 utilizzando named pipe da un utente che non dispone di diritti di amministratore, può essere visualizzato un messaggio di errore analogo a uno dei seguenti:

Messaggio 1
Impossibile stabilire la connessione. SQL Server inesistente.
Messaggio 2
Impossibile stabilire la connessione. Accesso negato.
Per ottenere un aggiornamento rapido per risolvere il problema relativo a questo messaggio di errore, vedere il seguente articolo della Microsoft Knowledge Base:
823492 Messaggio di errore "Connection Could Not Be Established" quando si stabilisce la connessione a un computer basato su Windows NT 4.0 che esegue SQL Server 2000 o SQL Server 7.0

Informazioni sul download

Il seguente file è disponibile per il download dall'Area download Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Data di rilascio: 23 luglio 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Questa patch di protezione richiede SQL Server 2000 Service Pack 3 (SP3) o Service Pack 3a (SP3a). Microsoft consiglia SQL Server 2000 Service Pack 3a.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
290211 Come ottenere il service pack più recente per SQL Server 2000
Nota Se la patch di protezione relativa al Bollettino Microsoft sulla sicurezza MS03-031 non è ancora stata installata, scaricare e utilizzare il file disponibile con il seguente articolo della Microsoft Knowledge Base:
826161 FIX: Dopo che si è modificato un account di accesso standard a SQL Server viene richiesta la conferma della password

Informazioni sull'installazione

Questa patch di protezione supporta i seguenti parametri di installazione.
ParametroDescrizione
sConsente di disattivare la finestra di dialogo dell'estrazione automatica. Deve essere specificato prima del parametro /a.
/aQuesto parametro deve essere specificato prima di tutti gli altri parametri a eccezione di /s se l'aggiornamento rapido viene eseguito utilizzando il file EXE autoestraente e si desidera includere i parametri per l'installazione automatica. Si tratta di un parametro obbligatorio per l'installazione automatica.
/qCon questo parametro il programma di installazione verrà eseguito in modalità non interattiva senza interfaccia utente.
INSTANCENAMENome dell'istanza di SQL Server. Deve essere immesso come indicato di seguito:

INSTANCENAME=nomeistanzautente
BLANKSAPWDConsente di impostare una password sa vuota per l'autenticazione SQL. Se viene immesso questo parametro su un computer con Microsoft Windows NT o Microsoft Windows 2000, l'accesso predefinito con l'autenticazione di Windows verrà ignorato e verrà tentato l'accesso con una password sa vuota. Il formato corretto del parametro è BLANKSAPWD=1. Questo parametro viene riconosciuto solo per le installazioni automatiche.
SAPWDPassword sa non vuota. Questo parametro deve essere specificato nel formato SAPWD=passwordsa. Il parametro consente di ignorare l'autenticazione predefinita di Windows su un computer con Windows NT o Windows 2000 oppure se viene specificato BLANKSAPWD.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
330391 Programma di installazione dell'aggiornamento rapido di SQL Server

Richiesta di riavvio

Se non viene richiesto, non è necessario riavviare il computer dopo l'installazione della patch di protezione.

Informazioni sulla rimozione

La rimozione della patch non è supportata se non è stato eseguito il backup di determinati cataloghi prima dell'installazione della patch di protezione. Per ulteriori informazioni, vedere la sezione relativa alla rimozione o al ripristino dello stato precedente dell'aggiornamento rapido nel seguente articolo della Microsoft Knowledge Base (il contenuto potrebbe essere in inglese):
330391 Programma di installazione dell'aggiornamento rapido di SQL Server

Informazioni sulla sostituzione della patch di protezione

Questa patch di protezione non sostituisce alcuna altra patch di protezione per SQL Server 2000 Service Pack 3 (SP3).

Informazioni sui file

La versione in lingua inglese di questa patch presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
Data        Ora    Versione           Dimensione   Nome file ---------------------------------------------------------------------------- 31/05/2003  18.45  2000.80.818.0      78.400 byte  Console.exe 25/06/2003  01.01  2000.80.818.0      33.340 byte  Dbmslpcn.dll 25/04/2003  02.12                    786.432 byte  Distmdl.ldf 25/04/2003  02.12                  2.359.296 byte  Distmdl.mdf 30/01/2003  01.55                        180 byte  Drop_repl_hotfix.sql 07/04/2003  19.15  2000.80.801.0   1.557.052 byte  Dtsui.dll 24/04/2003  02.51                    747.927 byte  Instdist.sql 03/05/2003  01.56                      1.581 byte  Inst_repl_hotfix.sql 08/02/2003  06.40  2000.80.765.0      90.692 byte  Msgprox.dll 01/04/2003  02.07                      1.873 byte  Odsole.sql 07/05/2000  07.04                      1.873 byte  Odsole.sql 02/04/2003  21.48  2000.80.796.0      57.904 byte  Osql.exe 02/04/2003  23.15  2000.80.797.0     279.104 byte  Pfutil80.dll 04/04/2003  21.27                  1.083.467 byte  Replmerg.sql 04/04/2003  21.53  2000.80.798.0     221.768 byte  Replprov.dll 08/02/2003  06.40  2000.80.765.0     307.784 byte  Replrec.dll 05/05/2003  00.05                  1.085.874 byte  Replsys.sql 31/05/2003  01.01  2000.80.818.0     492.096 byte  Semobj.dll 31/05/2003  18.27  2000.80.818.0     172.032 byte  Semobj.rll 29/05/2003  00.29                    115.944 byte  Sp3_serv_uni.sql 01/06/2003  01.01  2000.80.818.0   4.215.360 byte  Sqldmo.dll 07/07/2003  17.44                     25.172 byte  Sqldumper.exe 19/03/2003  18.20  2000.80.789.0      28.672 byte  Sqlevn70.rll 24/04/2003  05.39  2000.80.811.0     176.696 byte  Sqlmap70.dll 08/02/2003  06.40  2000.80.765.0      57.920 byte  Sqlrepss.dll 01/06/2003  01.02  2000.80.818.0   7.544.916 byte  Sqlservr.exe 01/06/2003  01.02                 12.739.584 byte  Sqlservr.pdb 08/02/2003  06.40  2000.80.765.0      45.644 byte  Sqlvdi.dll 25/06/2003  01.01  2000.80.818.0      33.340 byte  Ssmslpcn.dll 01/06/2003  01.01  2000.80.818.0      82.492 byte  Ssnetlib.dll 01/06/2003  01.01  2000.80.818.0      25.148 byte  Ssnmpn70.dll 01/06/2003  01.01  2000.80.818.0     158.240 byte  Svrnetcn.dll 31/05/2003  18.59  2000.80.818.0      76.416 byte  Svrnetcn.exe 30/04/2003  23.52  2000.80.816.0      45.132 byte  Ums.dll 30/04/2003  23.52                    132.096 byte  Ums.pdb 28/02/2003  01.34  2000.80.778.0      98.872 byte  Xpweb70.dll

Verifica

Per determinare la versione di SQL Server in esecuzione, utilizzare le informazioni disponibili nel seguente articolo della Microsoft Knowledge Base:
321185 HOW TO: Identificare versione ed edizione del service pack di SQL Server
Dopo l'installazione della patch di protezione, eseguire uno dei comandi seguenti:
SELECT serverproperty('productversion') 

SELECT @@Version
Dovrà essere restituito il seguente risultato:
8.00.818
Riferimenti
Per ulteriori informazioni su questo aggiornamento della protezione, vedere il seguente Bollettino Microsoft sulla sicurezza: Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
824684 Descrizione della terminologia standard utilizzata per illustrare gli aggiornamenti software Microsoft
Proprietà

ID articolo: 821277 - Ultima revisione: 01/23/2006 18:02:16 - Revisione: 7.2

  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
  • atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
Feedback