Você está offline; aguardando reconexão

MS03-031: Patch de segurança para o SQL Server 2000 Service Pack 3

Sumário
A Microsoft distribui correções de segurança do SQL Server 2000 como um arquivo que pode ser baixado. Como as correções de segurança são cumulativas, cada versão nova contém todos os hotfixes e correções de segurança inclusos na versão anterior da correção de segurança do SQL Server 2000. Você não precisa instalar um patch de segurança anterior antes de instalar o mais recente.

Para obter informações adicionais sobre o service pack mais recente para o Microsoft SQL Server 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
290211 Como obter o service pack mais recente para o SQL Server 2000
INTRODUÇÃO
Este artigo da Base de Dados de Conhecimento da Microsoft contém uma lista de todas as correções de segurança disponíveis para o SQL Server 2000 Service Pack 3 (SP3), o SQL Server 2000 Service Pack 3a (SP3a), o SQL Server 2000 Desktop Engine (MSDE) Service Pack 3 (SP3) e o SQL Server 2000 Desktop Engine (MSDE) Service Pack 3a (SP3a).

Observações importantes

  • Esse pacote cumulativo não contém as correções de segurança contidas no MDAC (Microsoft Data Access Components) e nos Serviços de análise.

Segue uma lista das vulnerabilidades resolvidas por esse patch de segurança:
  • Captura do pipe nomeado
    Quando o SQL Server inicia, ele cria e monitora um pipe nomeado específico para conexões de entrada no servidor. Um pipe nomeado é um canal unidirecional ou bidirecional nomeado especificamente para a comunicação entre um servidor de pipe e um ou mais clientes. O SQL Server checa o pipe nomeado para verificar quais conexões podem fazer logon no sistema que está executando o SQL Server para consultar dados armazenados no servidor.

    Há uma falha no método de verificação do pipe nomeado que permite que um invasor local no sistema que está executando o SQL Server, capture (obtenha o controle de) o pipe nomeado quando outro cliente usar uma senha de logon autenticado para conectar-se. Isso permitiria que o invasor obtivesse o controle do pipe nomeado no mesmo nível de permissão de um usuário que está tentando conectar-se. Se o usuário que está se conectando remotamente possuir um nível maior de permissões comparado ao do invasor, ele irá assumir esses direitos quando o pipe nomeado estiver comprometido.
  • Negação de serviço do pipe nomeado
    Na situação dos pipes nomeados mencionada na seção "Captura do pipe nomeado" deste artigo, um usuário não-autenticado, que é local na intranet, deve enviar um pacote muito grande para um pipe nomeado específico em que o sistema que está executando o SQL Server esteja atendendo e o tornando instável.

    Essa vulnerabilidade não permite que um invasor execute um código qualquer ou aumente suas permissões; no entanto, uma condição de serviço negado ainda pode existir e você precisará reiniciar o servidor para restaurar a funcionalidade.
  • Saturação do buffer no SQL Server
    Há uma falha em uma função específica do Windows que pode permitir que um usuário não-autenticado, com acesso direto de conexão ao sistema que executa o SQL Server, crie um pacote específico que, ao ser enviado a uma porta LPC (local procedure call) do sistema, cause uma saturação do buffer. Se explorada corretamente, é possível permitir que um usuário, com permissões limitadas no sistema, aumente suas permissões no nível da conta de serviço do SQL Server ou faça com que um código arbitrário seja executado.

O SQL Server solicita uma senha após a instalação do MS03-031: Patch de segurança cumulativo para o SQL Server

Após a instalação do "MS03-031: Patch de segurança cumulativo para o SQL Server", ao fazer alterações no login padrão do SQL Server usando o Enterprise Manager, o SQL Server solicitará uma senha, mesmo que você não a tenha alterado. Se você não alterou a senha, não é possível fechar a caixa de diálogo, independente da entrada usada. Para resolver ou evitar esse problema, faça o download e use a correção que está no seguinte artigo da Base de Dados de Conhecimento da Microsoft:
826161 CORREÇÃO: É solicitada uma confirmação de senha após a alteração de login de um Servidor SQL padrão
Mais Informações

Observações importantes

Leia essas observações importantes sobre a instalação desse patch em um computador executando o SQL Server 2000 SP3.

Serviços UDDI (Universal Description, Discovery e Integration)

Se você instalar esse patch de segurança em um computador executando o Microsoft Windows Server 2003 e os serviços UDDI estiverem instalados, será necessário executar uma entre duas ações para reiniciar os serviços UDDI, dependendo das circunstâncias. Os Serviços UDDI não irão continuar com o funcionamento normal até que você o faça.
  • Se nenhum outro serviço da Web estiver em uso no computador que está executando o Windows Server 2003, você poderá reiniciar os Serviços UDDI reiniciando o IIS (Internet Information Services) da Microsoft. Reiniciar o IIS é o mesmo que primeiro interromper o IIS e depois iniciá-lo novamente, exceto pelo fato de isso ser feito com um único comando. Há dois modos para se reiniciar o IIS:
    • Use a interface gráfica de usuário do IIS Manager.
    • Use o utilitário da linha de comando IISReset.
  • Se outros serviços da Web estiverem em uso no computador que está executando o Windows Server 2003, você não irá afetar sua operação. Para reiniciar os Serviços UDDI, as seguintes etapas:
    1. Inicie o utilitário IIS Manager.
    2. Localize a pasta Pools de aplicativo e clique com o botão direito do mouse no ícone MSUDDIAppPool.
    3. Marque a opção de menu Reciclar. Ao fazer isso, você fará com que os Serviços UDDI continuem a operação sem afetar qualquer outro serviço da Web no computador.

Uma mensagem de erro ocorre ao conectar-se a um computador com o Microsoft Windows NT 4.0 usando pipes nomeados

Ao conectar-se a um computador com o Windows NT 4.0 executando o Microsoft SQL Server 2000 usando pipes nomeados e a conexão for feita por um usuário não administrativo, uma mensagem de erro semelhante a uma das seguintes será exibida:

Mensagem 1
Não foi possível estabelecer uma conexão. O SQL Server não existe.
Mensagem 2
Não foi possível estabelecer uma conexão. Acesso negado.
Para obter um hotfix que resolva essa mensagem de erro, consulte o artigo a seguir na Base de Dados de Conhecimento da Microsoft:
823492 Mensagem de erro "Não foi possível estabelecer a conexão" ao conectar-se a um computador com o Windows NT 4.0 executando o SQL Server 2000 ou o SQL Server 7.0

Informações sobre o download

O seguinte arquivo está disponível para o download no Centro de Download da Microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D

Data de lançamento: 23 de julho de 2003

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter os arquivos de suporte da Microsoft nos Serviços on-line
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Pré-requisitos

Esse patch de segurança requer o SQL Server 2000 Service Pack 3 (SP3) ou o Service Pack 3a (SP3a). A Microsoft recomenda o SQL Server 2000 Service Pack 3a.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
290211 Como obter o service pack mais recente para o SQL Server 2000
Observação Se não tiver instalado o patch de segurança do Boletim de Segurança da Microsoft MS03-031, baixe e use o arquivo disponível no seguinte artigo da Base de Dados de Conhecimento da Microsoft:
826161 CORREÇÃO: É solicitada uma confirmação de senha após a alteração de login de um Servidor SQL padrão

Informações sobre a instalação

Este patch de segurança suporta as seguintes opções de Instalação.
OpçãoDescrição
sDesativa a caixa de diálogo de progresso Auto-extração. Deve vir antes da opção /a.
/aEsse parâmetro deverá estar antes de todos os parâmetros, exceto /s se você estiver executando o hotfix ao usar o EXE de extração automática e quiser incluir parâmetros para instalações autônomas. É um parâmetro obrigatório para que o instalador execute no modo autônomo.
/qEssa opção faz com que o programa de instalação execute no modo silencioso sem a interface de usuário.
INSTANCENAMENome da instância do SQL Server. Você deve inseri-la como segue:

INSTANCENAME=nomedainstância
BLANKSAPWDSignifica uma senha sa em branco para Autenticação do SQL. Se você inserir esse parâmetro nos computadores que estão executando o Microsoft Windows NT ou o Microsoft Windows 2000, o logon padrão de Autenticação do Windows será substituído e fará logon com uma senha sa em branco. O formato correto desse parâmetro é BLANKSAPWD=1. Esse parâmetro é reconhecido somente para as instalações autônomas.
SAPWDSenha sa que não está em branco. Se você inserir esse parâmetro, ele deverá estar na forma de SAPWD=sua_senha_sa. Esse parâmetro substitui a Autenticação padrão do Windows nos computadores que executam o Windows NT ou o Windows 2000, ou BLANKSAPWD, se inserido.
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados do Conhecimento da Microsoft:
330391 Instalador do hotfix do SQL Server

Requisito de reinicialização

Não é necessário reiniciar o computador após a aplicação desse patch de segurança, a menos que o instalador do hotfix solicite.

Informações sobre a remoção

A remoção desse patch não é suportada a menos que tenha sido feito backup de determinados catálogos antes da instalação desse patch de segurança. Para obter informações adicionais, consulte a seção "Como remover ou reverter o hotfix" no artigo a seguir da Base de Dados de Conhecimento da Microsoft:
330391 Instalador do hotfix para SQL Server

Informações sobre a substituição do patch de segurança

Esse patch de segurança não substitui nenhum outro patch de segurança do SQL Server 2000 Service Pack 3 (SP3).

Informações sobre o arquivo

A versão em português deste patch de segurança possui os atributos de arquivo (ou atributos de arquivos mais recentes) listados na seguinte tabela. As datas e horários desses arquivos estão listados em formato UTC (coordenadas de tempo universal). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre a UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
   Data         Hora   Versão             Tamanho         Nome do arquivo ---------------------------------------------------------------------------- 31-mai-2003  18:45  2000.80.818.0      78.400 bytes  Console.exe 25-jun-2003  01:01  2000.80.818.0      33.340 bytes  Dbmslpcn.dll 25-abr-2003  02:12                    786.432 bytes  Distmdl.ldf 25-abr-2003  02:12                  2.359.296 bytes  Distmdl.mdf 30-jan-2003  01:55                        180 bytes  Drop_repl_hotfix.sql 07-abr-2003  19:15  2000.80.801.0   1.557.052 bytes  Dtsui.dll 24-abr-2003  02:51                    747.927 bytes  Instdist.sql 03-mai-2003  01:56                      1.581 bytes  Inst_repl_hotfix.sql 08-fev-2003  06:40  2000.80.765.0      90.692 bytes  Msgprox.dll 01-abr-2003  02:07                      1.873 bytes  Odsole.sql 07-may-2000  07:04                      1.873 bytes  Odsole.sql 02-abr-2003  21:48  2000.80.796.0      57.904 bytes  Osql.exe 02-abr-2003  23:15  2000.80.797.0     279.104 bytes  Pfutil80.dll 04-abr-2003  21:27                  1.083.467 bytes  Replmerg.sql 04-abr-2003  21:53  2000.80.798.0     221.768 bytes  Replprov.dll 08-fev-2003  06:40  2000.80.765.0     307.784 bytes  Replrec.dll 05-mai-2003  00:05                  1.085.874 bytes  Replsys.sql 31-mai-2003  01:01  2000.80.818.0     492.096 bytes  Semobj.dll 31-mai-2003  18:27  2000.80.818.0     172.032 bytes  Semobj.rll 29-mai-2003  00:29                    115.944 bytes  Sp3_serv_uni.sql 01-jun-2003  01:01  2000.80.818.0   4.215.360 bytes  Sqldmo.dll 07-abr-2003  17:44                     25.172 bytes  Sqldumper.exe 19-mar-2003  18:20  2000.80.789.0      28.672 bytes  Sqlevn70.rll 24-abr-2003  05:39  2000.80.811.0     176.696 bytes  Sqlmap70.dll 08-fev-2003  06:40  2000.80.765.0      57.920 bytes  Sqlrepss.dll 01-jun-2003  01:02  2000.80.818.0   7.544.916 bytes  Sqlservr.exe 01-jun-2003  01:02                 12.739.584 bytes  Sqlservr.pdb 08-fev-2003  06:40  2000.80.765.0      45.644 bytes  Sqlvdi.dll 25-jun-2003  01:01  2000.80.818.0      33.340 bytes  Ssmslpcn.dll 01-jun-2003  01:01  2000.80.818.0      82.492 bytes  Ssnetlib.dll 01-jun-2003  01:01  2000.80.818.0      25.148 bytes  Ssnmpn70.dll 01-jun-2003  01:01  2000.80.818.0     158.240 bytes  Svrnetcn.dll 31-mai-2003  18:59  2000.80.818.0      76.416 bytes  Svrnetcn.exe 30-abr-2003  23:52  2000.80.816.0      45.132 bytes  Ums.dll 30-abr-2003  23:52                    132.096 bytes  Ums.pdb 28-fev-2003  01:34  2000.80.778.0      98.872 bytes  Xpweb70.dll

Verificação

Para determinar qual versão do SQL Server está em execução, use as informações que estão no seguinte artigo da Base de Dados de Conhecimento da Microsoft:
321185 Como identificar a versão e edição do SQL Server Service Pack
Após aplicar esse patch de segurança, execute um dos seguintes:
SELECT serverproperty('productversion') 

SELECT @@Version
O seguinte número deve retornar:
8.00.818
Referências
Para obter informações adicionais sobre esse patch de segurança, consulte o seguinte Boletim de segurança da Microsoft (em inglês): Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de conhecimento da Microsoft:
824684 Descrição da terminologia padrão usada para descrever as atualizações de software da Microsoft
Propriedades

ID do Artigo: 821277 - Última Revisão: 01/23/2006 19:14:31 - Revisão: 7.2

  • Microsoft SQL Server 2000 Service Pack 3
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3
  • Microsoft SQL Server 2000 Service Pack 3a
  • Microsoft SQL Server 2000 Desktop Engine (MSDE) SP3a
  • atdownload kbsqlserv2000presp4fix kbqfe kbfix KB821277
Comentários
l>