MS03-031: Sikkerhetsoppdatering for SQL Server 7,0 Service Pack 4

Denne artikkelen er arkivert. Den tilbys "som den er" og vil ikke bli oppdatert.
Sammendrag
Denne Microsoft Knowledge Base-artikkelen inneholder informasjon om utgivelsen av en SQL Server 7.0 Service Pack 4 (SP4) og sikkerhetsoppdateringen for Microsoft Data Engine 1.0 SP4. Denne sikkerhetsoppdateringen erstatter alle tidligere sikkerhetsoppdateringer som er dokumentert i følgende Microsoft Knowledge Base-artikkel, inkludert sikkerhetsoppdateringen for Microsofts sikkerhetsbulletin MS02-061 for SQL Server 7.0:
327068 SQL Server 7.0-sikkerhetsoppdatering for Service Pack 4 (denne artikkelen kan være på engelsk)

Viktige merknader

Denne pakken inneholder ikke sikkerhetsreparasjonene i Microsoft Data Access Components (MDAC) og SQL Server Analysis Services.

Denne sikkerhetsoppdateringen løser følgende sikkerhetsproblemer:
 • Kontroll over navngitt datakanal
  Når SQL-serveren starter, oppretter den en bestemt navngitt datakanal som den deretter lytter etter innkommende tilkoblinger til serveren på. En navngitt datakanal er en én-veis eller to-veis bestemt navngitt datakanal for kommunikasjon mellom en datakanalserver og én eller flere datakanalklienter. SQL-serveren kontrollerer den navngitte datakanalen for å verifisere hvilke tilkoblinger som kan logge seg på systemet som kjører SQL-server, slik at det kan kjøres spørringer mot data som er lagret på serveren.

  Det er en feil i kontrollmetoden for den navngitte datakanalen som kan føre til at en angriper som er lokalt på systemet som kjører SQL-server, kan få kontroll over den navngitte datakanalen når en annen klient bruker et godkjent påloggingspassord til å logge seg på. Dette gir angriperen kontroll over den navngitte datakanalen på samme tillatelsesnivå som brukeren som prøver å koble seg til. Hvis brukeren som prøver å koble seg til eksternt, har et høyere tillatelsesnivå enn angriperen, vil angriperen få de samme rettighetene når den navngitte datakanalen skades.
 • Tjenestenekt (denial of service) for navngitt datakanal
  I samme scenario for navngitte datakanaler som er nevnt i avsnittet Kontroll over navngitt datakanal i denne bulletinen, kan en ikke-godkjent bruker som er lokalt på intranettet, sende en svært stor pakke til en bestemt navngitt datakanal der datamaskinen som kjører SQL-server, lytter. Dette kan føre til at serveren ikke svarer.

  Dette sikkerhetsproblemet gir ikke en angriper tilgang til å kjøre en tilfeldig kode eller øke tilgangsnivåene, men tjenestenekt (denial of service) kan imidlertid fortsatt forekomme. Det betyr at du må starte serveren på nytt for å gjenopprette funksjonaliteten.
 • Bufferoverløp for SQL-server
  Det er en feil i en bestemt funksjon i Windows som kan føre til at en godkjent bruker som har direkte tilgang, kan logge seg på systemet som kjører SQL-server, og få mulighet til å opprette en spesiallaget pakke som kan føre til bufferoverløp når den sendes til lytteporten for lokalt prosedyrekall (LPC) på systemet. Hvis denne muligheten utnyttes, kan det gi en bruker med begrensede tillatelser på systemet mulighet til å øke tillatelsene til samme nivå som tjenestekontoen for SQL-serveren, eller føre til at en tilfeldig kode kjøres.
Mer informasjon

Viktige merknader

Les gjennom disse viktige merknadene angående installasjon av denne sikkerhetsoppdateringen på en datamaskin som kjører SQL Server 7.0 SP4.

Det vises en feilmelding når du kobler til en Microsoft Windows NT 4.0-basert datamaskin ved hjelp av navngitte datakanaler

Når du kobler til en Windows NT 4.0-basert datamaskin som kjører SQL Server 7.0, ved hjelp av navngitte datakanaler, og den tilkoblingen gjøres av en bruker som ikke er administrator, kan du få en feilmelding som ligner på en av disse:
Melding 1
Kan ikke koble til. SQL-serveren finnes ikke.
Melding 2
Kan ikke koble til. Ingen tilgang.
Hvis du vil ha en hurtigreparasjon for å løse feilmeldingen, kan du se følgende artikkel i Microsoft Knowledge Base:
823492 Du får feilmeldingen "Kan ikke koble til" når du bruker navngitte datakanaler til å koble til en Windows NT 4.0-basert datamaskin som kjører SQL Server 2000 eller SQL Server 7.0 (denne artikkelen kan være på engelsk)

Forutsetninger

Denne sikkerhetsoppdateringen krever SQL Server 7.0 SP4.

Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
301511 Slik får du tak i den seneste oppdateringspakken for SQL Server 7.0 (denne artikkelen kan være på engelsk)
Ved klyngede SQL Server 7.0-installasjoner må du først dele opp SQL Server-klyngen ved å kjøre failover-veiviseren for SQL Server fra den primære klyngenoden for hver virtuelle SQL-server.
Aktiv/aktiv
Følg denne fremgangsmåten for å utføre en Aktiv/aktiv-installasjon:
 1. Kontroller at datamaskinnoden der SQL Server 7.0 opprinnelig ble installert, styrer begge ressursgruppene for SQL Server.
 2. På hver node for klyngen kjører du failover-installasjonsveiviseren for å fjerne den virtuelle SQL-serveren.
 3. Når du har delt opp SQL Server-klyngen, må du først kjøre den kjørbare hurtigreparasjonsfilen på begge nodene, og deretter fullføre installasjonen av hurtigreparasjonen før du klynger SQL Server på nytt.
Aktiv/passiv
Følg denne fremgangsmåten for å utføre en Aktiv/passiv-installasjon:
 1. Kontroller at datamaskinnoden der SQL Server 7.0 opprinnelig ble installert, styrer SQL Server-ressursene.
 2. På den samme datamaskinnoden kjører du failover-installasjonsveiviseren for å fjerne den virtuelle SQL-serveren.
 3. Når du har delt opp SQL Server-klyngen, må du først kjøre den kjørbare hurtigreparasjonsfilen bare på primærnoden, og deretter fullføre installasjonen av hurtigreparasjonen før du klynger SQL Server på nytt.

Nedlastingsinformasjon

Følgende fil kan lastes ned fra Microsoft Download Center (dette området kan være på engelsk):
Utgivelsesdato: 23.07.03

Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester
Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet som forhindrer at uvedkommende gjør endringer i filen.

Installasjonsinformasjon

Denne sikkerhetsoppdateringen støtter følgende kommandolinjebrytere for installasjonsprogrammet:
KommandolinjebryterBeskrivelse
/sDeaktiverer forløpsdialogboksen for selvutpakking. Må komme foran /a-bryteren.
/aDenne parameteren må komme foran alle de andre parameterne unntatt /s hvis du kjører hurtigreparasjonen ved å bruke den selvutpakkende EXE-filen, og du vil inkludere parametere for uovervåkede installasjoner. Denne parameteren er nødvendig for at installasjonsprogrammet skal kjøres i uovervåket modus.
/qDenne bryteren forårsaker at installasjonsprogrammet kjøres i stille modus uten brukergrensesnitt.
BLANKSAPWD Denne parameteren betyr at sa-passordet for SQL-godkjenning er tomt. Hvis du skriver inn denne parameteren på datamaskiner som kjører Windows NT eller Windows 2000, overstyres standard pålogging for Windows-godkjenning, og pålogging forsøkes utført med et tomt sa-passord. Det riktige formatet for denne parameteren er BLANKSAPWD=1. Denne parameteren gjenkjennes bare for uovervåkede installasjoner.
SAPWDIkke tomt sa-passord. Hvis du skriver inn denne parameteren, må den ha formen SAPWD=ditt sa-passord. Denne parameteren overstyrer standard Windows-godkjenning på datamaskiner som kjører Windows NT eller Windows 2000, eller BLANKSAPWD, hvis den angis.
Hvis du vil ha mer informasjon, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
330391 Installasjonsprogram for SQL Server-hurtigreparasjon (denne artikkelen kan være på engelsk)

Omstartskrav

Du trenger ikke starte datamaskinen på nytt når du har brukt denne oppdateringen, hvis du ikke blir bedt om det av installasjonsprogrammet for hurtigreparasjonen.

Informasjon om fjerning

Denne oppdateringen kan ikke fjernes hvis ikke bestemte kataloger ble sikkerhetskopiert før sikkerhetsoppdateringen ble installert. Hvis du vil ha mer informasjon, kan du se avsnittet How to Remove or Rollback the Hotfix (Slik fjerner eller tilbakefører du hurtigreparasjonen) i følgende Microsoft Knowledge Base-artikkel:
330391 Installasjonsprogram for SQL Server-hurtigreparasjon (denne artikkelen kan være på engelsk)

Informasjon om erstatning av sikkerhetsoppdatering

Denne sikkerhetsoppdateringen erstatter alle tidligere sikkerhetsoppdateringer som er dokumentert i følgende Microsoft Knowledge Base-artikkel, inkludert sikkerhetsoppdateringen for Microsofts sikkerhetsbulletin MS02-061 for SQL Server 7.0:
327068 SQL Server 7.0-sikkerhetsoppdatering for Service Pack 4 (denne artikkelen kan være på engelsk)

Filinformasjon

Den engelskspråklige versjonen av denne pakken har filattributtene som står oppført i tabellen nedenfor (eller nyere). Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Når du viser filinformasjonen, konverteres den til lokal tid. Hvis du vil finne forskjellen mellom UTC og lokal tid, bruker du kategorien Tidssone under Dato og klokkeslett i Kontrollpanel.
  Dato    Tid   Versjon     Størrelse Filnavn  -----------------------------------------------------------------------  04.10.2002 23:59 2000.34.4.0    28 944 byte Dbmssocn.dll    06.09.2002 23:55 2000.33.6.0    53 520 byte Distrib.exe     06.09.2002 23:55 2000.33.6.0    98 576 byte Logread.exe     05.05.2003 18:34           54 904 byte Opends60.dbg  05.05.2003 18:34 2000.41.2.0    155 920 byte Opends60.dll    05.05.2003 18:34          132 096 byte Opends60.pdb  06.09.2002 23:56 2000.33.6.0    250 128 byte Rdistcom.dll    06.09.2002 23:55 2000.33.6.0    82 192 byte Replmerg.exe    06.09.2002 23:56 2000.33.6.0    78 096 byte Replres.dll     17.09.2002 22:52           7 941 byte Securityhotfix.sql  06.09.2002 23:56 2000.33.6.0    160 016 byte Snapshot.exe    30.05.2003 04:21           59 214 byte Sp4_serv_uni.sql  15.01.2003 01:33 2000.37.13.0   344 064 byte Sqlagent.exe    06.09.2002 23:55 2000.33.6.0    45 056 byte Sqlcmdss.dll    16.05.2003 00:18 2000.41.14.0  2 629 632 byte Sqldmo.dll     16.05.2003 13:29 2000.41.14.0    81 920 byte Sqlmap70.dll    29.05.2003 23:11         4 370 404 byte Sqlservr.dbg  30.05.2003 02:44 2000.41.28.0  5 062 928 byte Sqlservr.exe    29.05.2003 23:11         3 589 120 byte Sqlservr.pdb  04.10.2002 23:59 2000.34.4.0    45 328 byte Ssmsso70.dll    16.05.2003 00:18 2000.41.14.0    24 848 byte Ssnmpn70.dll    26.09.2002 20:30           28 408 byte Ums.dbg  26.09.2002 20:27 2000.33.25.0    57 616 byte Ums.dll       26.09.2002 20:29           99 328 byte Ums.pdb  16.05.2003 13:31 2000.41.14.0   151 552 byte Xpweb70.dll

Bekreftelse

Bruk informasjonen i følgende Microsoft Knowledge Base-artikkel for å fastslå hvilken versjon av SQL Server du kjører:
321185 Slik identifiserer du versjonen av oppdateringspakken for SQL Server (denne artikkelen kan være på engelsk)
Etter at du har kjørt denne oppdateringspakken, returneres "7.00.1094" når du kjører en av følgende SELECT-setninger:
SELECT serverproperty('productversion') 
SELECT @@Version
Referanser
Hvis du vil ha mer informasjon om denne sikkerhetsoppdateringen, kan du gå til følgende Microsoft-webområde (dette området kan være på engelsk):
Egenskaper

Artikkel-ID: 821279 – Forrige gjennomgang: 02/27/2014 07:49:25 – Revisjon: 7.1

Microsoft SQL Server 7.0 Service Pack 4, Microsoft Data Engine 1.0, Microsoft Data Engine 1.0

 • kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Tilbakemelding