[MS03-031] SQL Server 7.0 Service Pack 4 用のセキュリティ修正プログラム

この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
この「サポート技術情報」 (Microsoft Knowledge Base) には、SQL Server 7.0 Service Pack 4 (SP4) および Microsoft Data Engine 1.0 SP4 のセキュリティ更新プログラムのリリースに関する情報が記載されています。このセキュリティ更新プログラムを適用すると、マイクロソフト セキュリティ情報 MS02-061 の SQL Server 7.0 用のセキュリティ更新プログラムなど、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている以前のセキュリティ更新プログラムがすべて置き換えられます。
327068 [INF] SQL Server 7.0 Service Pack 4 のセキュリティ アップデート

注意事項

このパッケージには、Microsoft Data Access Components (MDAC) および SQL Server Analysis Services に付属のセキュリティ更新プログラムは含まれていません。

このセキュリティ更新プログラムでは、以下の脆弱性が解決されます。
  • 名前付きパイプのハイジャック
    SQL Server が起動すると、サーバーへの着信接続用に特定の名前付きパイプが作成され、リッスンが開始されます。名前付きパイプは、特定の名前が付けられた一方向または双方向のチャネルで、パイプ サーバーと 1 つ以上のパイプ クライアントとの間の通信に使用されます。SQL Server は名前付きパイプをチェックし、SQL Server を実行するシステムにログオンしてサーバー上に保存されたデータのクエリを実行できる接続を確認します。

    名前付きパイプのチェック方法に存在する問題により、SQL Server を実行するシステムに対して、別のクライアントが認証済みログオン パスワードを使用してログオンしたときに、SQL Server にローカル ログオンしている攻撃者が名前付きパイプをハイジャックする (名前付きパイプの制御を取得する) 可能性があります。これにより、攻撃者は、接続を試行しているユーザーと同じアクセス許可レベルで名前付きパイプの制御を取得することができます。リモートから接続を試行しているユーザーが、攻撃者のアクセス許可よりも高いレベルのアクセス許可を持っている場合、名前付きパイプが侵害されると、攻撃者はその高いレベルのアクセス許可を取得することになります。
  • 名前付きパイプのサービス拒否
    前述の「名前付きパイプのハイジャック」と同じ状態にある名前付きパイプで、イントラネットからアクセスできる認証されていないユーザーが、SQL Server を実行するシステムでリッスンが行われている特定の名前付きパイプに対して非常に大きなパケットを送信して、SQL Server の応答を停止させる可能性があります。

    この脆弱性によって、攻撃者が任意のコードを実行したり、アクセス権を昇格させたりすることはできません。ただし、サービス拒否の状態が発生した場合、サーバーの機能を回復するためにサーバーの再起動が必要になることがあります。
  • SQL Server のバッファ オーバーラン
    Windows の特定の機能に存在する問題により、SQL Server を実行するシステムに直接ログオンできる権限を持つ認証されたユーザーが、特殊なパケットを作成する可能性があります。そのパケットがシステムのリッスン中のローカル プロシージャ コール (LPC) ポートに送信されると、バッファ オーバーランが発生する可能性があります。この脆弱性が悪用されると、アクセス権が制限されているユーザーが、SQL Server サービス アカウントのアクセス権レベルまで自分自身のアクセス権を昇格したり、任意のコードを実行したりする可能性があります。
詳細

注意事項

SQL Server 7.0 SP4 を実行するコンピュータにこのセキュリティ更新プログラムをインストールする場合は、以下の注意事項に目を通してください。

名前付きパイプを使用して Microsoft Windows NT 4.0 ベースのコンピュータに接続するとエラー メッセージが表示される

SQL Server 7.0 を実行する Windows NT 4.0 ベースのコンピュータに名前付きパイプを使用して接続するとき、管理者以外のユーザーが接続を行うと、以下のいずれかのようなエラー メッセージが表示されることがあります。
メッセージ 1
接続できません。SQL Server が存在しません。
メッセージ 2
接続できません。アクセスが拒否されました。
このエラー メッセージを解決する修正プログラムを入手するには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
823492 SQL Server 2000 または SQL Server 7.0 を実行中の Windows NT 4.0 ベース コンピュータに接続する際のエラー メッセージ "接続できません"

必要条件

このセキュリティ更新プログラムを適用するには、SQL Server 7.0 SP4 が必要です。

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
301511 [INF] 最新の SQL Server 7.0 Service Pack の入手方法
クラスタ化された SQL Server 7.0 のインストールでは、まず、各仮想 SQL Server のプライマリ クラスタ ノードから SQL Server フェールオーバー セットアップ ウィザードを実行して、SQL Server のクラスタ化を解除する必要があります。
アクティブ/アクティブ
アクティブ/アクティブ インストールの場合、以下の手順を実行します。
  1. SQL Server 7.0 が最初にインストールされていたコンピュータ ノードで、両方の SQL Server のリソース グループが管理されていることを確認します。
  2. クラスタの各ノードで、フェールオーバー セットアップ ウィザードを実行して、仮想 SQL Server を削除します。
  3. SQL Server のクラスタ化を解除した後、両方のノードで修正プログラム実行可能ファイルを実行し、修正プログラムのインストールを正常に完了する必要があります。その後、SQL Server を再びクラスタ化できます。
アクティブ/パッシブ
アクティブ/パッシブ インストールの場合、以下の手順を実行します。
  1. SQL Server 7.0 が最初にインストールされていたコンピュータ ノードで、SQL Server のリソースが管理されていることを確認します。
  2. この同じコンピュータ ノードで、フェールオーバー セットアップ ウィザードを実行して、仮想 SQL Server を削除します。
  3. SQL Server のクラスタ化を解除した後、プライマリ ノードのみで修正プログラム実行可能ファイルを実行し、修正プログラムのインストールを正常に完了する必要があります。その後、SQL Server を再びクラスタ化できます。

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
リリース日 : 2003 年 7 月 23 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

インストール情報

このセキュリティ更新プログラムでは、以下のセットアップ スイッチを使用できます。
スイッチ説明
/s解凍中のファイルを示すダイアログ ボックスを無効にします。/a スイッチの前に指定する必要があります。
/a自己解凍型 EXE を使用して修正プログラムを実行するときに、無人インストール用のパラメータを含める場合、/s を除くすべてのパラメータの前に指定する必要があります。インストーラを無人モードで実行する際には、このパラメータが必要です。
/qこのスイッチを指定すると、セットアップ プログラムはサイレント モードで実行され、ユーザー インターフェイスが表示されません。
BLANKSAPWDこのパラメータは、SQL 認証の sa パスワードが空白であることを示します。Windows NT または Windows 2000 を実行するコンピュータでこのパラメータを入力した場合、デフォルトの Windows 認証ログオンは使用されず、空白の sa パスワードを使用してログオンが試行されます。このパラメータの正しい形式は、BLANKSAPWD=1 です。このパラメータは、無人インストールでのみ認識されます。
SAPWD空白以外の sa パスワードを使用します。このパラメータは、SAPWD=yoursapassword の形式で入力する必要があります。このパラメータを入力した場合、Windows NT または Windows 2000 を実行するコンピュータでは、このパラメータがデフォルトの Windows 認証または BLANKSAPWD よりも優先されます。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
330391 SQL Server の修正プログラム インストーラ

再起動の必要性

修正プログラム インストーラから再起動の指示がない限り、このセキュリティ更新プログラムの適用後にコンピュータを再起動する必要はありません。

アンインストール情報

このセキュリティ更新プログラムのインストール前に一部のカタログをバックアップした場合を除いて、この更新プログラムのアンインストールはサポートされません。詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) の「修正プログラムの削除またはロールバック」を参照してください。
330391 SQL Server の修正プログラム インストーラ

セキュリティ更新プログラムの置き換えに関する情報

このセキュリティ更新プログラムを適用すると、マイクロソフト セキュリティ情報 MS02-061 の SQL Server 7.0 用のセキュリティ更新プログラムなど、以下の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている以前のセキュリティ更新プログラムがすべて置き換えられます。
327068 [INF] SQL Server 7.0 Service Pack 4 のセキュリティ アップデート

ファイル情報

   日付           時刻    バージョン        サイズ      ファイル名   ------------------------------------------------------------------   2002/10/04  16:59  2000.34.4.0       28,944  DBmsSOCn.dll       2002/09/06  16:55  2000.33.6.0       53,520  distrib.EXE        2002/09/06  16:55  2000.33.6.0       98,576  logread.exe        2003/05/05  11:34                    54,904  opends60.DBG       2003/05/05  15:07  2000.41.2.0      155,920  opends60.dll       2003/05/05  11:34                   132,096  opends60.pdb       2002/09/06  16:56  2000.33.6.0      250,128  rdistcom.DLL       2002/09/06  16:55  2000.33.6.0       82,192  replmerg.EXE       2002/09/06  21:47  2000.33.6.0       78,096  replres.DLL        2002/09/17  15:52                     7,941  securityhotfix.sql     2002/09/06  16:56  2000.33.6.0      160,016  snapshot.EXE       2003/05/29  21:22                    60,380  sp4_serv_uni.sql   2003/01/22  22:03  2000.37.13.0     344,064  sqlagent.exe       2002/09/06  21:47  2000.33.6.0       45,056  sqlcmdss.DLL       2003/05/15  17:18  2000.41.14.0   2,629,632  SQLDMO.dll         2003/05/16  06:30  2000.41.14.0      81,920  sqlmap70.DLL       2003/05/29  16:11                 4,370,404  SQLSERVR.dbg       2003/05/29  19:47  2000.41.28.0   5,062,928  SQLSERVR.EXE       2003/05/29  16:11                 3,589,120  SQLSERVR.pdb       2002/10/04  16:59  2000.34.4.0       45,328  SSmsSO70.dll       2003/05/15  17:18  2000.41.14.0      24,848  ssnmpn70.dll       2002/09/26  13:30                    28,408  ums.DBG            2002/09/26  13:27  2000.33.25.0      57,616  ums.dll            2002/09/26  13:29                    99,328  ums.pdb            2003/05/16  06:32  2000.41.14.0     151,552  XPWEB70.DLL     

動作の検証

実行中の SQL Server のバージョンを確認するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) の情報を使用します。
321185 SQL Server のバージョンとエディションを識別する方法
このセキュリティ更新プログラムを適用した後、次のいずれかの SELECT ステートメントを実行すると、"7.00.1094" が返されます。
SELECT serverproperty('productversion') 
SELECT @@Version
関連情報
このセキュリティ更新プログラムの詳細については、次のマイクロソフト Web サイトを参照してください。
プロパティ

文書番号:821279 - 最終更新日: 02/27/2014 07:49:25 - リビジョン: 7.1

  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
  • kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
フィードバック