MS02-040: Microsoft Data Access Components용 보안 업데이트

이 문서는 이전에 다음 ID로 출판되었음: KR326573
알림

MS02-040의 대체 정보

이 보안 릴리스는 Microsoft 보안 게시판 MS03-033:으로 대체되었습니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823718 MS03-033: Microsoft Data Access Components용 보안 업데이트
참고 Microsoft 보안 게시판 MS03-033의 다운로드 목록을 보려면 이 문서의 "다운로드 정보" 절을 참조하십시오.
이 문서가 보관되었습니다. "그대로" 제공되었으며, 업데이트가 되지 않을 것입니다.
요약
이 게시판이 발표된 후에는 설명한 취약점이 OpenRowSet 명령에 없는 것으로 확인되었습니다. OpenRowSet 명령은 Microsoft SQL Server 명령입니다. 대신 기본 MDAC 구성 요소 ODBC(Open Database Connectivity)에 취약점이 있습니다. OBDC는 모든 Windows 버전에 존재합니다. 또한 Microsoft Windows Installer가 Windows 파일 보호 캐시를 업데이트하는 방법의 결함으로 인해 이와 함께 발표된 원본 보안 패치가 일부 시스템에서 제대로 설치되지 않습니다. 이러한 추가 정보를 포함하고 사용자에게 업데이트한 보안 패치를 안내하기 위해 게시판이 업데이트되었습니다.

Microsoft Data Access Components(MDAC)는 Microsoft Windows 운영 체제에서 데이터베이스 연결 기능을 제공하는 데 사용되는 구성 요소의 모음입니다. MDAC는 널리 사용되는 기술이므로 대부분의 Windows 시스템에 존재합니다.

MDAC는 기본적으로 Microsoft Windows XP, Microsoft Windows 2000 및 Microsoft Windows Millennium Edition(Me)에 일부로 포함되어 있습니다. 다른 많은 제품과 기술도 MDAC를 포함하거나 설치합니다. 예를 들어, Microsoft Windows NT 4.0 Option Pack과 Microsoft SQL Server 2000 모두에 MDAC이 포함되어 있으며 일부 MDAC 구성 요소는 MDAC 자체가 설치되지 않은 경우에도 Microsoft Internet Explorer의 일부로 제공됩니다. 또한 MDAC는 독립 실행형 기술로 다운로드할 수 있습니다. MDAC를 다운로드하려면 아래의 Microsoft 웹 사이트를 방문하십시오.

MDAC는 원격 데이터베이스에 연결하고 클라이언트에 데이터를 반환하는 기능 같은 다양한 데이터베이스 작업에 대한 기본 기능을 제공합니다. 특히 ODBC(Open Database Connectivity)라고 하는 MDAC 구성 요소가 이러한 기능을 제공합니다.

데이터 원본에 연결하는 데 사용되는 MDAC의 ODBC 기능 중 하나에 검사되지 않은 버퍼가 있기 때문에 보안 취약점이 발생합니다. 공격자는 사용자가 방문하면 해당 사용자의 자격 증명으로 공격자가 선택한 코드를 실행할 수 있는 웹 페이지를 구성하여 이러한 취약점을 악용할 수 있습니다. 이러한 웹 페이지는 웹 사이트에서 호스트되거나 전자 메일 메시지를 통해 사용자에게 직접 보내질 수 있습니다.

SQL Server를 실행 중인 시스템의 경우에는 공격자가 Transact-SQL OpenRowSet 명령을 사용하여 이 취약점을 악용할 수 있습니다. OpenRowSet에 대한 호출에 특수하게 변형된 매개 변수가 포함된 데이터베이스 쿼리를 제출하는 공격자는 버퍼 오버런을 발생시켜 SQL Server 실행 컴퓨터가 실패하게 하거나 공격자가 지시하는 동작을 수행하도록 SQL Server 실행 컴퓨터를 조작할 수 있습니다.

문제 방지 요소는 아래와 같습니다.
  • 전자 메일 메시지를 일반 텍스트 형식으로 읽는 사용자는 공격자가 취약점을 악용하기 전에 조치를 취해야 합니다.
  • Internet Explorer에서 Active 스크립트를 사용 불가능하게 해제된 시스템은 이 취약점의 영향을 받지 않습니다.
  • 웹 기반 공격 시나리오에서는 사용자가 공격자의 제어 하에 있는 악의적인 웹 사이트를 방문해야 합니다. 공격자가 강제로 사용자에게 HTML 전자 메일을 통해 악의 있는 웹 사이트에 방문하도록 할 수는 없습니다. 대신 공격자는 사용자에게 공격자의 웹 사이트로 안내하는 링크를 누르도록 하는 방법으로 사용자를 유인해야 합니다.
  • 공격에 성공하여 얻게 되는 자격 증명은 ODBC가 실행 중인 응용 프로그램의 자격 증명과 동일합니다. 대부분의 경우 공격자는 사용자가 로그인할 때 사용한 것과 같은 수준의 자격 증명만 얻습니다.
  • 기본적으로 Outlook Express 6.0과 Outlook 2002에서는 제한된 사이트 영역에서 HTML 메일을 엽니다. 또한 Outlook 98과 Outlook 2000에서는 Outlook 전자 메일 보안 업데이트가 설치된 경우 제한된 사이트 영역에서 HTML 메일을 엽니다. 이러한 제품 중 하나를 사용하는 고객은 사용자가 전자 메일 안에 있는 악의적인 링크를 누르지 않는 한 이러한 취약점을 악용하려고 하는 전자 메일을 통한 공격으로부터 영향을 받지 않습니다.
추가 정보

다운로드 정보

참고 아래의 링크는 새로운 보안 패치, MS03-033으로 연결합니다. Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다.
다운로드지금 Microsoft Data Access Components(MDAC) 보안 패치 MS03-033 패키지 다운로드 릴리스 날짜: 2003년 8월 20일

Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
119591 온라인 서비스로부터 Microsoft 지원 파일을 구하는 방법
Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신의 바이러스 예방 프로그램으로 이 파일을 검사했습니다. 이 파일은 무단으로 변경할 수 없는 보안이 향상된 서버에 보관됩니다.

전제 조건

다음 MDAC 버전 중 하나를 실행하고 있어야 합니다.
  • MDAC 2.5
  • MDAC 2.6
  • MDAC 2.7
MDAC 2.8을 포함하여 그 밖의 다른 MDAC 버전은 이 취약점의 영향을 받지 않습니다.

참고 이 업데이트는 적용 가능한 모든 언어에 적용됩니다.

설치 옵션

이 업데이트를 적용한 후에는 컴퓨터를 다시 시작해야 합니다. 이 업데이트는 다음 설치 스위치를 지원합니다.
스위치 설명
/?설치 스위치 목록을 표시합니다.
/Q자동 모드
/T:<전체 경로>임시 작업 폴더를 지정합니다.
/C/T와 함께 사용할 경우 해당 폴더에만 파일의 압축을 풉니다.
/C:<명령>만든 이가 정의한 설치 명령을 무시합니다.
/N다시 시작 대화 상자가 나타나지 않습니다.

예를 들어, 다음 명령줄 명령은 사용자 개입 없이 업데이트를 설치하며 다시 시작을 제어합니다.

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

dahotfix.exe에 대해 지정된 /q 스위치는 자동 설치를 위한 것이며, /n 스위치는 다시 시작 대화 상자를 나타내지 않습니다.

경고 다시 시작할 때까지는 컴퓨터가 공격에 취약합니다.

다시 시작 요구 사항

이 업데이트를 적용한 후에는 컴퓨터를 다시 시작해야 합니다.

제거 정보

이 보안 패치를 일단 설치한 후에는 제거할 수 없습니다.

보안 패치 대체 정보

이 보안 패치는 Microsoft 보안 게시판 MS03-033에 제공된 보안 패치를 대체합니다. Microsoft 보안 게시판 MS03-033에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오. Microsoft 보안 게시판 MS03-033에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823718 MS03-033: Microsoft Data Access Components용 보안 업데이트

파일 정보

이 보안 패치의 영어 버전은 아래와 같거나 그 이상의 파일 특성을 가집니다. 이 파일의 날짜와 시간은 UTC(Coordinated Universal Time)로 나열되며 파일 정보를 볼 때 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 차이를 알려면 제어판날짜 및 시간 도구에서 표준 시간대 탭을 사용하십시오.

MDAC 2.5 서비스 팩 2


날짜 시간 버전 크기 파일 이름
2003-07-2320:563.520.6100.40212,992Odbc32.dll
2003-07-2122:243.70.11.4024,848Odbcbcp.dll
2003-07-2302:293.520.6100.40102,672Odbccp32.dll
2003-07-2122:243.70.11.40524,560Sqlsrv32.dll

MDAC 2.5 서비스 팩 3


날짜 시간 버전 크기 파일 이름
2003-07-2400:133.520.6300.40212,992Odbc32.dll
2003-07-2122:243.70.11.4024,848Odbcbcp.dll
2003-07-2400:113.520.6100.40102,672Odbccp32.dll
2003-07-2122:243.70.11.40524,560Sqlsrv32.dll

MDAC 2.6 서비스 팩 2


날짜 시간 버전 크기 파일 이름
2003-07-2117:282000.80.746.086,588Dbnetlib.dll
2003-07-2222:043.520.7501.40217,360Odbc32.dll
2003-07-2117:282000.80.746.029,252Odbcbcp.dll
2003-07-2222:043.520.7501.40102,672Odbccp32.dll
2003-07-3123:072000.80.746.0479,800Sqloledb.dll
2003-07-2117:282000.80.746.0455,236Sqlsrv32.dll

MDAC 2.7 RTM


날짜 시간 버전 크기 파일 이름
2003-07-3117:492000.81.9001.4061,440Dbnetlib.dll
2003-07-2223:043.520.9001.40204,800Odbc32.dll
2003-07-2223:102000.81.9001.4024,576Odbcbcp.dll
2003-07-2223:103.520.9001.4094,208Odbccp32.dll
2003-07-3117:492000.81.9001.40450,560Sqloledb.dll
2003-07-2223:082000.81.9001.40356,352Sqlsrv32.dll

MDAC 2.7 서비스 팩 1


날짜 시간 버전 크기 파일 이름
2003-07-2218:272000.81.9041.4061,440Dbnetlib.dll
2003-07-2218:223.520.9041.40204,800Odbc32.dll
2003-07-2218:282000.81.9041.4024,576Odbcbcp.dll
2003-07-2218:283.520.9041.4098,304Odbccp32.dll
2003-07-3118:472000.81.9041.40471,040Sqloledb.dll
2003-07-2218:272000.81.9041.40385,024Sqlsrv32.dll

확인

본 문서에 나와 있는 올바른 버전의 파일을 갖고 있는지 확인하십시오.
참조
Microsoft 보안 게시판 MS02-040에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
security_patch
속성

문서 ID: 326573 - 마지막 검토: 02/24/2014 15:44:44 - 수정: 5.1

Microsoft Data Access Components 2.5, Microsoft Data Access Components 2.6, Microsoft Data Access Components 2.7

  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbqfe kbsecurity kbsecbulletin kbsechack KB326573
피드백