Você está offline; aguardando reconexão

MS03-031: Patch de segurança para SQL Server 7.0 Service Pack 4

Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sumário
Este artigo da Base de Dados de Conhecimento da Microsoft contém informações sobre o lançamento de um patch de segurança para o SQL Server 7.0 Service Pack 4 (SP4) e o Microsoft Data Engine 1.0 SP4. Este patch de segurança substitui todos os patches de segurança anteriores documentados no artigo a seguir da Base de Dados de Conhecimento da Microsoft, incluindo o Boletim de segurança da Microsoft MS02-061 para o SQL Server 7.0 (a página pode estar em inglês):
327068 Atualização de Segurança do SQL Server 7.0 para o Service Pack 4

Observações importantes

Este pacote não contém as correções de segurança contidas no Microsoft Data Access Components (MDAC) e no SQL Server Analysis Services.

Este patch de segurança resolve as seguintes vulnerabilidades:
  • Captura do pipe nomeado
    Quando o SQL Server inicia, ele cria e monitora um pipe nomeado específico para conexões de entrada para o servidor. Um pipe nomeado é um canal unidirecional ou bidirecional nomeado especificamente para a comunicação entre um servidor de pipe e um ou mais clientes pipe. O SQL Server checa o pipe nomeado para verificar quais conexões podem fazer logon no sistema que está executando o SQL Server para executar dados armazenados no servidor.

    Há uma falha no método de verificação do pipe nomeado que poderia permitir que um invasor local no sistema que está executando o SQL Server capture (obtenha o controle de) o pipe nomeado quando outro cliente usar uma senha de logon autenticado para fazer logon Isto permitiria que o invasor obtivesse o controle do pipe nomeado no mesmo nível de permissão de um usuário que está tentando conectar-se. Se o usuário que está se conectando remotamente possuir um nível maior de permissões que o invasor, o invasor irá assumir esses direitos quando o pipe nomeado estiver comprometido.
  • Negação de serviço do pipe nomeado
    No mesmo cenário dos pipes nomeados mencionada na seção "Captura do pipe nomeado" deste boletim, é possível para um usuário não-autenticado, que é local na intranet enviar, um pacote muito grande para um pipe nomeado específico em que o computador que está executando o SQL Server esteja escutando e o tornando sem resposta.

    Esta vulnerabilidade não permitiria que um invasor executasse um código qualquer ou aumentasse as permissões, mas ainda seria possível existir uma negação da condição de serviço que exigiria que o servidor fosse reiniciado para restaurar a funcionalidade.
  • Estouro de buffer no SQL Server
    Há uma falha em uma função específica do Windows que poderia permitir que um usuário autenticado, com acesso direto para fazer logon no sistema que executa o SQL Server, crie um pacote específico que, ao ser enviado a uma porta LPC (local procedure call) do sistema, cause uma saturação do buffer. Se explorada com êxito, isto pode permitir que um usuário, com permissões limitadas no sistema, eleve suas permissões no nível da conta de serviço do SQL Server ou faça com que um código arbitrário seja executado.
Mais Informações

Observações importantes

Leia as seguintes observações importantes sobre como instalar este patch de segurança em um computador executando o SQL Server 7.0 SP4.

Uma mensagem de erro é exibida quando você se conecta a um computador com o Microsoft Windows NT 4.0 usando pipes nomeados

Ao se conectar a um computador com o Windows NT 4.0 que esteja executando o SQL Server 7.0 usando pipes nomeados, e essa conexão for feita por um usuário que não seja administrador, você poderá receber uma mensagem de erro semelhante à seguinte:
Mensagem 1
A conexão não pôde ser estabelecida. O SQL Server não existe.
Mensagem 2
A conexão não pôde ser estabelecida. Acesso negado.
Para obter um hotfix que resolva esta mensagem de erro, consulte o artigo a seguir na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
823492 Mensagem de erro "A conexão não pôde ser estabelecida" ao conectar-se a um computador com o Windows NT 4.0 executando o SQL Server 2000 ou o SQL Server 7.0

Pré-requisitos

Este patch de segurança requer o SQL Server 7.0 SP4.

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
301511 Como obter o service pack mais recente para o SQL Server 7.0
Para instalações do SQL Server 7.0 em cluster, você deve primeiro tirar o SQL Server do cluster ao executar o Assistente de Failover do SQL Server a partir do nó em cluster primário de cada SQL Server virtual.
Ativa/Ativa
Execute as seguintes etapas para uma instalação Ativa/Ativa:
  1. Certifique-se de que o nó do computador, em que o SQL Server 7.0 foi originalmente instalado, controle os grupos de recurso do SQL Server.
  2. Em cada nó do cluster, execute o utilitário Assistente de Configuração do Failover para remover o SQL Server virtual.
  3. Depois de tirar o SQL Server do cluster, você deve executar o arquivo executável do hotfix nos nós e concluir a instalação do hotfix com êxito antes de recolocar o SQL Server no cluster.
Ativa/Passiva
Execute as seguintes etapas para uma instalação Ativa/Passiva:
  1. Certifique-se de que o nó do computador, em que o SQL Server 7.0 foi originalmente instalado, controle os recursos do SQL Server.
  2. Neste mesmo nó do computador, execute o utilitário Assistente de Configuração do Failover para remover o SQL Server virtual.
  3. Depois de tirar o SQL Server do cluster, você deve executar o arquivo executável do hotfix somente no nó primário e concluir a instalação do hotfix com êxito antes de recolocar o SQL Server no cluster.

Informações sobre o download

O seguinte arquivo está disponível para download na Central de Download da Microsoft (em inglês):
Data de lançamento: 23 de julho de 2003

Para obter informações adicionais sobre como baixar os arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
119591 Como obter os arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Informações sobre a instalação

Este patch de segurança dá suporte às seguintes opções de Instalação.
OpçãoDescrição
/sDesabilita a caixa de diálogo em andamento Auto-extração. Deve vir antes da opção /a.
/aEste parâmetro deve estar antes de todos os parâmetros, exceto /s se você estiver executando o hotfix ao usar o EXE de extração automática e quiser incluir parâmetros para instalações autônomas. É um parâmetro obrigatório para que o instalador execute no modo autônomo.
/qEsta opção faz com que o programa de instalação execute no modo silencioso sem a interface de usuário.
BLANKSAPWD Este parâmetro significa que a senha sa para Autenticação do SQL está em branco. Se você inserir este parâmetro nos computadores que estão executando o Windows NT ou o Windows 2000, o logon padrão de Autenticação do Windows será substituído e fará logon com uma senha sa em branco. O formato correto deste parâmetro é BLANKSAPWD=1. Este parâmetro é reconhecido somente para as instalações autônomas.
SAPWDSenha sa que não está em branco. Se você inserir este parâmetro, ele deverá estar na forma de SAPWD=sua_senha_sa. Este parâmetro substitui a Autenticação padrão do Windows nos computadores que executam o Windows NT ou o Windows 2000, ou BLANKSAPWD, se inserido.
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
330391 Instalador do hotfix do SQL Server

Necessidade de reinicialização

Você não precisa reiniciar o computador depois de aplicar este patch de segurança, a menos que o instalador do hotfix solicite.

Informações sobre a remoção

A remoção deste patch de segurança não tem suporte, a menos que o backup de determinados catálogos tenha sido feito antes de você instalar o patch de segurança. Para obter informações adicionais, consulte a seção "Como remover ou reverter o hotfix" no artigo a seguir da Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
330391 Instalador do hotfix para SQL Server

Informações sobre a substituição do patch de segurança

Este patch de segurança substitui todos os patches de segurança anteriores documentados no seguinte artigo da Base de Dados de Conhecimento Microsoft, inclusive o patch de segurança do Boletim de Segurança da Microsoft MS02-061 para o SQL Server 7.0 (a página pode estar em inglês):
327068 Atualização de Segurança do SQL Server 7.0 para o Service Pack 4

Informações sobre o arquivo

A versão em inglês deste pacote apresenta os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horários destes arquivos estão listados em formato Tempo Universal Coordenado (UTC). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
Data         Hora   Versão      Tamanho   Nome do arquivo   -----------------------------------------------------------------------   04-out-2002  23:59  2000.34.4.0        28.944 bytes  Dbmssocn.dll        06-set-2002  23:55  2000.33.6.0        53.520 bytes  Distrib.exe         06-set-2002  23:55  2000.33.6.0        98.576 bytes  Logread.exe         05-mai-2003  18:34                     54.904 bytes  Opends60.dbg   05-mai-2003  18:34  2000.41.2.0       155.920 bytes  Opends60.dll        05-mai-2003  18:34                    132.096 bytes  Opends60.pdb   06-set-2002  23:56  2000.33.6.0       250.128 bytes  Rdistcom.dll        06-set-2002  23:55  2000.33.6.0        82.192 bytes  Replmerg.exe        06-set-2002  23:56  2000.33.6.0        78.096 bytes  Replres.dll         17-set-2002  22:52                      7.941 bytes  Securityhotfix.sql   06-set-2002  23:56  2000.33.6.0       160.016 bytes  Snapshot.exe        30-mai-2003  04:21                     59.214 bytes  Sp4_serv_uni.sql   15-jan-2003  01:33  2000.37.13.0      344.064 bytes  Sqlagent.exe        06-set-2002  23:55  2000.33.6.0        45.056 bytes  Sqlcmdss.dll        16-mai-2003  00:18  2000.41.14.0    2.629.632 bytes  Sqldmo.dll          16-mai-2003  13:29  2000.41.14.0       81.920 bytes  Sqlmap70.dll        29-mai-2003  23:11                  4.370.404 bytes  Sqlservr.dbg   30-mai-2003  02:44  2000.41.28.0    5.062.928 bytes  Sqlservr.exe        29-mai-2003  23:11                  3.589.120 bytes  Sqlservr.pdb   04-out-2002  23:59  2000.34.4.0        45.328 bytes  Ssmsso70.dll        16-mai-2003  00:18  2000.41.14.0       24.848 bytes  Ssnmpn70.dll        26-set-2002  20:30                     28.408 bytes  Ums.dbg   26-set-2002  20:27  2000.33.25.0       57.616 bytes  Ums.dll             26-set-2002  20:29                     99.328 bytes  Ums.pdb   16-mai-2003  13:31  2000.41.14.0      151.552 bytes  Xpweb70.dll

Verificação

Para determinar qual a versão do SQL Server você está executando, utilize as informações que constam no artigo a seguir da Base de Dados de Conhecimento da Microsoft (a página pode estar em inglês):
321185 Como identificar a versão e a edição do seu SQL Server
Depois que você aplicar esse patch de segurança, "7.00.1094" deverá retornar quando você executar uma das seguintes instruções SELECT:
SELECT serverproperty('productversion') 
SELECT @@Version
Referências
Para obter informações adicionais sobre esse patch de segurança, visite o seguinte site da Microsoft:
Propriedades

ID do Artigo: 821279 - Última Revisão: 02/27/2014 07:49:25 - Revisão: 7.1

Microsoft SQL Server 7.0 Service Pack 4, Microsoft Data Engine 1.0, Microsoft Data Engine 1.0

  • kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Comentários