[MS03-031] SQL Server 用の累積的なセキュリティ修正プログラム

この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
マイクロソフトは、以下の製品に含まれる脆弱性を修正するセキュリティ更新プログラムをリリースしました。
  • Microsoft SQL Server 2000 Service Pack 3 (SP3)
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3
  • Microsoft SQL Server 2000 64-bit
  • Microsoft SQL Server 7.0 Service Pack 4 (SP4)
  • Microsoft Data Engine 1.0 Service Pack 4 (SP4)
このセキュリティ更新プログラムで解決される脆弱性の一覧を以下に示します。
  • 名前付きパイプのハイジャック
    SQL Server が起動すると、サーバーへの着信接続用に特定の名前付きパイプが作成されてリッスンされます。名前付きパイプは、特定の名前が付けられた一方向または双方向のチャネルで、パイプ サーバーと 1 つ以上のパイプ クライアントとの間で通信を行うために使用されます。SQL Server は名前付きパイプをチェックし、どの接続が SQL Server を実行するシステムにログオンして、サーバー上に保存されたデータに対してクエリを実行できるかを検証します。

    名前付きパイプのチェック方法に存在する問題により、SQL Server を実行するシステムに対してローカルな攻撃者が、別のクライアントが認証済みログオン パスワードを使用してログオンしたときに、名前付きパイプをハイジャックする (名前付きパイプの制御を取得する) 可能性があります。これにより、攻撃者は、接続を試行しているユーザーと同じアクセス許可レベルで名前付きパイプの制御を取得することができます。リモートから接続を試行しているユーザーが、攻撃者のアクセス許可よりも高いレベルのアクセス許可を持っている場合、名前付きパイプが侵害されると、攻撃者はその高いレベルのアクセス許可を取得することになります。
  • 名前付きパイプのサービス拒否
    前述の「名前付きパイプのハイジャック」と同じ名前付きパイプのシナリオで、イントラネットに対してローカルな、認証されていないユーザーが、SQL Server を実行するシステムがリッスン中の特定の名前付きパイプに対して非常に大きなパケットを送信して、SQL Server の応答を停止させる可能性があります。

    この脆弱性によって、攻撃者が任意のコードを実行したり、アクセス権を昇格させたりすることはできません。ただし、サービス拒否の状態が発生した場合、サーバーの機能を回復するためにサーバーの再起動が必要になることがあります。
  • SQL Server のバッファ オーバーラン
    Windows の特定の機能に存在する問題により、SQL Server を実行するシステムに直接ログオンできる権限を持つ認証されたユーザーが、特殊なパケットを作成する可能性があります。そのパケットがシステムのリッスン中のローカル プロシージャ コール (LPC) ポートに送信されると、バッファ オーバーランが発生する可能性があります。この脆弱性が悪用されると、アクセス権が制限されているユーザーが、SQL Server サービス アカウントのアクセス権レベルまで自分自身のアクセス権を昇格したり、任意のコードを実行したりする可能性があります。
詳細
これらの脆弱性および更新プログラムの入手方法の詳細については、以下の一覧から、使用中の SQL Server のバージョンに応じた「サポート技術情報」 (Microsoft Knowledge Base) を参照してください。

SQL Server 2000 Service Pack 3 (SP3) または Microsoft SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3)

821277 [MS03-031] SQL Server 2000 Service Pack 3 用のセキュリティ修正プログラム

注意事項

SQL Server 2000 SP3 を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合は、以下の注意事項に目を通してください。
UDDI (Universal Description, Discovery, and Integration) サービス
UDDI サービスがインストールされた Microsoft Windows Server 2003 を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合、以下の 2 つの操作のうち使用中の環境に応じた操作を行って、UDDI サービスを再起動する必要があります。UDDI サービスの通常の動作は、手動で再起動するまで再開されません。
  • Windows Server 2003 を実行するコンピュータで他の Web サービスを使用していない場合、Microsoft インターネット インフォメーション サービス (IIS) を再起動することによって、UDDI サービスを再起動できます。IIS を再起動する操作は、IIS をいったん停止した後に再び開始する操作と同じですが、再起動は 1 つのコマンドで実行できます。IIS を再起動する方法には以下の 2 つがあります。
    • インターネット インフォメーション サービス (IIS) マネージャのグラフィカル ユーザー インターフェイスを使用します。
    • IISReset コマンド ライン ユーティリティを使用します。
  • Windows Server 2003 を実行するコンピュータで他の Web サービスを使用している場合、それらのサービスに影響を及ぼさないように再起動することができます。UDDI サービスを再起動するには、次の手順を実行します。
    1. インターネット インフォメーション サービス (IIS) マネージャを起動します。
    2. [アプリケーション プール] フォルダをクリックし、[MSUDDIAppPool] を右クリックします。
    3. [リサイクル] をクリックします。この操作により、コンピュータ上の他の Web サービスに影響を及ぼすことなく、UDDI サービスの動作を再開できます。
名前付きパイプを使用して Microsoft Windows NT 4.0 ベースのコンピュータに接続するとエラー メッセージが表示される
Microsoft SQL Server 2000 を実行する Windows NT 4.0 ベースのコンピュータに名前付きパイプを使用して接続するとき、管理者以外のユーザーが接続を行うと、以下のいずれかのようなエラー メッセージが表示されることがあります。
メッセージ 1
接続できません。SQL Server が存在しません。
メッセージ 2
接続できません。アクセスが拒否されました。
このエラー メッセージを解決する修正プログラムを入手するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
823492 SQL Server 2000 または SQL Server 7.0 を実行中の Windows NT 4.0 ベース コンピュータに接続する際のエラー メッセージ "接続できません"

SQL Server 2000 64-bit

821280 [MS03-031] SQL Server 2000 64-bit 用のセキュリティ修正プログラム

SQL Server 7.0 Service Pack 4 (SP4) または Microsoft Data Engine 1.0 Service Pack 4 (SP4)

821279 [MS03-031] SQL Server 7.0 Service Pack 4 用のセキュリティ修正プログラム

注意事項

SQL Server 7.0 Service Pack 4 (SP4) を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合は、以下の注意事項に目を通してください。
名前付きパイプを使用して Microsoft Windows NT 4.0 ベースのコンピュータに接続するとエラー メッセージが表示される
Microsoft SQL Server 2000 を実行する Windows NT 4.0 ベースのコンピュータに名前付きパイプを使用して接続するとき、管理者以外のユーザーが接続を行うと、以下のいずれかのようなエラー メッセージが表示されることがあります。
メッセージ 1
接続できません。SQL Server が存在しません。
メッセージ 2
接続できません。アクセスが拒否されました。
このエラー メッセージを解決する修正プログラムを入手するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
823492 SQL Server 2000 または SQL Server 7.0 を実行中の Windows NT 4.0 ベース コンピュータに接続する際のエラー メッセージ "接続できません"
security patch
プロパティ

文書番号:815495 - 最終更新日: 12/08/2015 02:09:44 - リビジョン: 2.2

Microsoft SQL Server 2000 64-bit Edition, Microsoft SQL Server 2000 Service Pack 3, Microsoft SQL Server 2000 Service Pack 3a, Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3, Microsoft Data Engine 1.0, Microsoft Data Engine 1.0

  • kbnosurvey kbarchive kbsqlserv2000presp4fea kbsqlserv700presp5fix kbqfe kbfix kbbug KB815495
フィードバック