現在オフラインです。再接続するためにインターネットの接続を待っています

[MS03-033] Microsoft Data Access Components のセキュリティ アップデート

概要
Microsoft Data Access Components (MDAC) は、Microsoft Windows オペレーティング システムでデータベース接続を提供するために使用されるコンポーネントの集まりです。MDAC は広範囲にわたって使用されている技術であり、ほとんどの Windows システムに存在します。

MDAC は Microsoft Windows XP、Microsoft Windows 2000 および Microsoft Windows Millennium Edition (Me) の一部としてデフォルトでインストールされます。また、その他の製品や技術の中にも、MDAC を含むものやインストールするものが多くあります。たとえば、Microsoft Windows NT 4.0 Option Pack および Microsoft SQL Server 2000 の両方には MDAC が含まれます。また、Microsoft Internet Explorer には、MDAC 自体はインストールされていなくても、その一部としていくつかの MDAC コンポーネントが含まれています。MDAC はスタンドアロン技術としてダウンロードすることもできます。MDAC をダウンロードするには、次のマイクロソフト Web サイトにアクセスしてください。MDAC 2.8 より前のバージョンには、バッファ オーバーフローの脆弱性につながる問題が含まれています。MDAC は、リモート データベースへの接続やクライアントへのデータの送信など、多くのデータベース操作の基本機能を提供します。ネットワーク上のクライアント コンピュータが同じネットワーク上で Microsoft SQL Server を実行しているコンピュータの一覧を参照する場合、ネットワーク上のすべてのデバイスに対してブロードキャスト要求を送信します。このとき、特定の MDAC コンポーネントに含まれている問題のため、攻撃者が特殊な形式のパケットを返して、バッファ オーバーフローを発生させるおそれがあります。このバッファ オーバーフローの脆弱性は、この資料に記載されているセキュリティ更新プログラムによって解消されます。

この問題の悪用に成功した攻撃者は、前述のブロードキャスト要求を送信したアプリケーションと同じレベルのユーザーの権利を取得します。その結果、システム上でのデータの作成、変更、および削除、システムの再構成、ハード ディスクの再フォーマット、攻撃者のプログラムの実行などが可能になるおそれがあります。

以下は、この問題を緩和する要素です。
  • 攻撃を行うには、攻撃者は対象のシステムと同じサブネット上で Microsoft SQL Server を実行するコンピュータをシミュレートする必要があります。
  • クライアント システムで実行されるコードは、ログオンしているユーザーの権限の範囲内でのみ実行されます。
  • MDAC 2.8 には、この資料に記載されている更新プログラムで修正される問題は含まれていません。MDAC 2.8 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    820761 [INFO] MDAC 2.8 に含まれる重要な修正の一覧
詳細

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
ダウンロードMicrosoft Data Access Components (MDAC) セキュリティ修正プログラム MS03-033 パッケージリリース日 : 2003 年 8 月 20 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

: この更新プログラムはすべての言語に適用できます。

必要条件

以下のいずれかのバージョンの MDAC を実行している必要があります。
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
これらより前の MDAC のバージョンにも脆弱性が存在しますが、サポート対象外です。一覧に示された MDAC のバージョンにアップグレードする必要があります。

実行中の MDAC のバージョンはレジストリで確認できます。バージョン情報は次のキーにあります。

HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer


レジストリをチェックするには、次の操作を行います。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
  2. [名前] ボックスに regedit と入力し、[OK] をクリックします。レジストリ エディタが起動します。
  3. 左側のウィンドウで、次のキーを見つけます。

    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. 詳細ウィンドウで、"名前" 列の "FullInstallVer" と "Version" を見つけます。これらのキーの "データ" 列が対応するバージョン情報です。この情報を次の表と比較します。
  5. 確認が済んだら、[レジストリ] メニューまたは [ファイル] メニューの [レジストリ エディタの終了] をクリックして、レジストリ エディタを終了します。
MDAC のバージョンFullInstallVer のデータ
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP12.51.xxxx.x
MDAC 2.5 SP22.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM2.60.xxxx.x
MDAC 2.6 SP12.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM2.80.xxxx.x
MDAC のバージョンを確認する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
301202 [HOWTO] MDAC のバージョンを確認する方法

インストール情報

このセキュリティ更新プログラムは、インストーラ プログラムによってインストールされます。

: インストーラ プログラムのユーザー インターフェイスは英語のみです。

インストール オプション

この更新プログラムでは、以下のセットアップ スイッチを使用できます。
スイッチ              説明-------------------------------------------------------------------------/?                インストール スイッチの一覧を表示します。/Q                Quiet モードで実行します。/T:<full path>    一時作業フォルダを指定します。/C                /T と併用したときに、指定したフォルダへのファイルの展開のみを行います。/C:<コマンド>       作成者が定義したインストール コマンドよりも優先して実行されます。/N                再起動のダイアログ ボックスを表示しません。				

たとえば、次のコマンド ライン コマンドを使用すると、更新プログラムのインストールの際にユーザー入力の必要がなく、コンピュータが再起動されることはありません。

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

dahotfix.exe で指定されている /q はサイレント インストール用のスイッチ、/n は再起動を抑止するためのスイッチです。

警告 : 再起動するまで、コンピュータの脆弱性はなくなりません。

再起動の必要性

この更新プログラムの適用後に、コンピュータを再起動する必要があります。

アンインストール情報

このセキュリティ更新プログラムは、インストール後に削除することはできません。

以前のセキュリティ更新プログラムの状態

このセキュリティ更新プログラムは、マイクロソフト セキュリティ情報 MS02-040 で提供されるセキュリティ更新プログラムを置き換えます。マイクロソフト セキュリティ情報 MS02-040 の詳細については、次のマイクロソフト Web サイトを参照してください。マイクロソフト セキュリティ情報 MS02-040 の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
326573 [MS02-040] Microsoft Data Access Components のセキュリティ アップデート

ファイル情報

セキュリティ更新プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい更新プログラムがリリースされている可能性もあります。

MDAC 2.5 Service Pack 2

   日付           時刻    バージョン         サイズ      ファイル名   --------------------------------------------------------------   2003/07/23  13:56  3.520.6100.40    212,992  odbc32.dll         2003/07/21  15:24  3.70.11.40        24,848  odbcbcp.dll        2003/07/22  19:29  3.520.6100.40    102,672  odbccp32.dll       2003/07/21  15:24  3.70.11.40       524,560  sqlsrv32.dll    				

MDAC 2.5 Service Pack 3

   日付           時刻    バージョン         サイズ      ファイル名   --------------------------------------------------------------   2003/07/23  17:13  3.520.6300.40    212,992  odbc32.dll     2003/07/21  15:24  3.70.11.40        24,848  odbcbcp.dll    2003/07/23  17:11  3.520.6300.40    102,672  odbccp32.dll   2003/07/21  15:24  3.70.11.40       524,560  sqlsrv32.dll				

MDAC 2.6 Service Pack 2

   日付           時刻    バージョン         サイズ      ファイル名   --------------------------------------------------------------   2003/07/21  10:28  2000.80.746.0     86,588  dbnetlib.dll       2003/07/22  15:04  3.520.7501.40    217,360  ODBC32.dll         2003/07/21  10:28  2000.80.746.0     29,252  odbcbcp.dll        2003/07/22  15:04  3.520.7501.40    102,672  ODBCCP32.dll       2003/07/31  16:07  2000.80.746.0    479,800  sqloledb.dll       2003/07/21  10:28  2000.80.746.0    455,236  sqlsrv32.dll     				

MDAC 2.7 RTM

   日付           時刻    バージョン            サイズ     ファイル名   --------------------------------------------------------------   2003/07/31  10:49  2000.81.9001.40     61,440  DBnetlib.dll       2003/07/22  16:04  3.520.9001.40      204,800  ODBC32.dll         2003/07/22  16:10  2000.81.9001.40     24,576  odbcbcp.dll        2003/07/22  16:10  3.520.9001.40       94,208  ODBCCP32.dll       2003/07/31  10:49  2000.81.9001.40    450,560  sqloledb.dll       2003/07/22  16:08  2000.81.9001.40    356,352  SQLSRV32.dll    				

MDAC 2.7 Service Pack 1

   日付           時刻    バージョン            サイズ     ファイル名   --------------------------------------------------------------   2003/07/22  11:27  2000.81.9041.40     61,440  DBnetlib.dll       2003/07/22  11:22  3.520.9041.40      204,800  ODBC32.dll         2003/07/22  11:28  2000.81.9041.40     24,576  odbcbcp.dll        2003/07/22  11:28  3.520.9041.40       98,304  ODBCCP32.dll       2003/07/31  11:47  2000.81.9041.40    471,040  sqloledb_.dll      2003/07/22  11:27  2000.81.9041.40    385,024  SQLSRV32.dll    				

動作の検証

この資料に記載された正しいバージョンのファイルがインストールされていることを確認します。

HKLM\Software\Microsoft\Updates
キーの下に以下のエントリがあること、およびインストールされたファイルのバージョンを確認することによって、更新プログラムがインストールされているかどうかを確認できます。次のエントリを確認してください。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718
関連情報
このセキュリティ更新プログラムの詳細については、マイクロソフト セキュリティ情報 MS03-033 を参照してください。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 823718 (最終更新日 2004-06-27) を基に作成したものです。
プロパティ

文書番号:823718 - 最終更新日: 07/18/2007 11:40:20 - リビジョン: 5.3

  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
  • kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
フィードバック