Войти

MS03-031: Обновление для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4)

Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
Данная статья содержит информацию о выпуске обновления для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4) и компонента Microsoft Data Engine 1.0 с пакетом обновления 4 (SP4). Данное обновление для системы безопасности заменяет все предыдущие обновления, описанные в следующих статьях базы знаний Майкрософт, включая обновление для системы безопасности SQL Server 7.0, описанное в бюллетене по безопасности MS02-061:
327068 Обновление для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Важные замечания

Данный пакет не включает исправления для компонентов MDAC и служб SQL Server Analysis Services.

Данное обновление для системы безопасности устраняет следующие уязвимости:
  • Захват именованного канала
    При запуске SQL Server создает именованный канал, который в дальнейшем им прослушивается для установки входящих подключений. Именованный канал представляет собой односторонний или двусторонний канал для обмена данными между сервером, создавшим канал, и клиентами. SQL Server проверяет именованный канал в поисках подключений клиентов, которые могут входить в систему и выполнять запросы к данным, хранящимся на сервере.

    В используемом методе проверки существует уязвимость, позволяющая злоумышленнику, имеющему доступ к консоли компьютера, на котором запущен SQL Server, осуществлять захват именованного канала в момент, когда другой пользователь входит в систему, и использовать именованный канал с правами данного пользователя. Если пользователь, удаленно входивший в систему, имел больше прав, чем злоумышленник, то после захвата именованного канала злоумышленник получит права этого пользователя.
  • Отказ в обслуживании именованного канала
    В ситуации аналогичной той, которая описана в разделе «Захват именованного канала», локальный пользователь интрасети, не прошедший проверку подлинности, может отправить большой пакет данных по именованному каналу на компьютер, на котором запущен SQL Server, в результате чего сервер перестанет отвечать на запросы.

    Данная уязвимость не позволяет злоумышленнику запускать произвольный код или расширять свои права, но с ее помощью можно заблокировать работу сервера, после чего для восстановления работоспособности понадобится перезапуск сервера.
  • Переполнение буфера в SQL Server
    В одной из функций Windows существует уязвимость, позволяющая пользователю, прошедшему проверку подлинности и имеющему доступ к консоли сервера, создать и отправить на порт LPC (local procedure call) пакет, вызывающий переполнение буфера. Успешное использование данной уязвимости позволяет злоумышленнику получать права учетной записи службы SQL Server и выполнять любой код.
Дополнительная информация

Важные замечания

Прочтите следующие замечания об установке данного обновления для системы безопасности на компьютер, на котором запущен SQL Server 7.0 с пакетом обновления 4 (SP4).

При подключении к компьютеру под управлением Microsoft Windows NT 4.0 с помощью именованных каналов появляется сообщение об ошибке

Если пользователь, не являющийся администратором, с помощью именованных каналов подключается к компьютеру под управлением Microsoft Windows NT 4.0, на котором запущен SQL Server 7.0, может появляться сообщение об ошибке следующего вида:
Сообщение 1
Не удалось установить подключение. SQL-сервер не существует.
Сообщение 2
Не удалось установить подключение. Отказано в доступе.
Для получения исправления, устраняющего указанную ошибку, обратитесь к следующей статье базы знаний Майкрософт:
823492 При подключении к компьютеру под управлением Windows NT 4.0, на котором запущен сервер SQL Server 2000 или сервер SQL Server 7.0, появляется сообщение об ошибке «Не удалось установить подключение» (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Необходимые условия

Для установки этого обновления для системы безопасности необходим SQL Server 7.0 с пакетом обновления 4 (SP4).

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
301511 Как получить последний пакет обновления для сервера SQL Server 7.0
При использовании кластерных установок SQL Server 7.0 необходимо сначала вывести серверы SQL Server из состава кластера. Для этого для всех виртуальных серверов SQL на основном узле кластера запустите мастер SQL Server Failover Wizard.
Активно-активный
При использовании режима «Активно-активный» выполните следующие действия:
  1. Убедитесь, что компьютер, на котором изначально был установлен SQL Server 7.0, управляет обеими группами ресурсов сервера SQL.
  2. На каждом узле кластера запустите мастер Failover Setup Wizard для удаления этого виртуального сервера SQL.
  3. После вывода узлов из состава кластера необходимо на каждом узле запустить исполняемый файл исправления, выполнить установку, а затем снова создать кластер.
Активно-пассивный
При использовании режима «Активно-пассивный» выполните следующие действия:
  1. Убедитесь, что компьютер, на котором изначальном был установлен SQL Server 7.0, управляет ресурсами сервера SQL.
  2. Запустите на этом компьютере мастер Failover Setup Wizard для удаления данного виртуального сервера SQL.
  3. После вывода узлов из состава кластера необходимо запустить исполняемый файл исправления только на первичном узле, выполнить установку, а затем снова создать кластер.

Сведения о загрузке

Загрузите следующий файл с веб-узла центра загрузки Microsoft:
Дата выпуска: 23 июля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на защищенном сервере, что предотвращает его несанкционированное изменение.

Сведения об установке

При запуске программы установки обновления для системы безопасности используются следующие параметры командной строки.
ПараметрОписание
/sОтключает отображения окна хода выполнения автоматического извлечения файлов. Данный параметр должен указываться до параметра /a.
/aДанный параметр должен указываться раньше других параметров, за исключением параметра /s. Это необходимо, если при запуске исполняемого файла исправления в автоматическом режиме требуется указать дополнительные параметры. При использовании автоматического режима установки данный параметр является обязательным.
/qНе отображать интерфейс пользователя.
BLANKSAPWD Показывает, что используется пустой пароль учетной записи sa. На компьютерах под управлением Windows NT или Windows 2000 данный параметр имеет преимущества над параметрами Windows и при входе в систему с помощью учетной записи sa будет использоваться пустой пароль. Синтаксис параметра: BLANKSAPWD=1. Данный параметр используется программой установки только при автоматической установке.
SAPWDПароль учетной записи sa не является пустым. При указании данного параметра необходимо использовать синтаксис SAPWD=пароль_учетной_записи_sa. На компьютерах под управлением Windows NT или Windows 2000 данный параметр имеет преимущества над параметрами Windows, а также преимущество над параметром BLANKSAPWD, если последний указан.
Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
330391 Установщик исправлений для SQL Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Необходимость перезагрузки

Если программа установки данного обновления для системы безопасности не предложила выполнить перезагрузку компьютера, то перезагрузку выполнять не требуется.

Сведения об удалении

Удаление данного исправления возможно, только если определенные папки были заархивированы до его установки. За дополнительными сведениями обратитесь к разделу «How to Remove or Rollback the Hotfix» следующей статьи базы знаний Майкрософт:
330391 Установщик исправлений для SQL Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сведения о замене обновлений для системы безопасности

Данное обновление для системы безопасности заменяет все предыдущие обновления, описанные в следующих статьях базы знаний Майкрософт, включая обновление для системы безопасности SQL Server 7.0, описанное в бюллетене по безопасности MS02-061:
327068 Обновление для системы безопасности SQL Server 7.0 с пакетом обновления 4 (SP4) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Сведения о файлах

Английская версия данного пакета содержит версии файлов, приведенные в следующей таблице или более поздние. Дата и время для файлов указаны в формате UTC (Coordinated Universal Time). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем в формате UTC и местным временем, откройте вкладку Часовой пояс элемента «Дата и время» на панели управления.
   Дата         Время  Версия             Размер       Имя файла   -----------------------------------------------------------------------   04-окт-2002  23:59  2000.34.4.0        28 944 байт  Dbmssocn.dll   06-сен-2002  23:55  2000.33.6.0        53 520 байт  Distrib.exe   06-сен-2002  23:55  2000.33.6.0        98 576 байт  Logread.exe   05-мая-2003  18:34                     54 904 байт  Opends60.dbg   05-мая-2003  18:34  2000.41.2.0       155 920 байт  Opends60.dll   05-мая-2003  18:34                    132 096 байт  Opends60.pdb   06-сен-2002  23:56  2000.33.6.0       250 128 байт  Rdistcom.dll   06-сен-2002  23:55  2000.33.6.0        82 192 байт  Replmerg.exe   06-сен-2002  23:56  2000.33.6.0        78 096 байт  Replres.dll   17-сен-2002  22:52                      7 941 байт  Securityhotfix.sql   06-сен-2002  23:56  2000.33.6.0       160 016 байт  Snapshot.exe   30-мая-2003  04:21                     59 214 байт  Sp4_serv_uni.sql   15-янв-2003  01:33  2000.37.13.0      344 064 байт  Sqlagent.exe   06-сен-2002  23:55  2000.33.6.0        45 056 байт  Sqlcmdss.dll   16-мая-2003  00:18  2000.41.14.0    2 629 632 байт  Sqldmo.dll   16-мая-2003  13:29  2000.41.14.0       81 920 байт  Sqlmap70.dll   29-мая-2003  23:11                  4 370 404 байт  Sqlservr.dbg   30-мая-2003  02:44  2000.41.28.0    5 062 928 байт  Sqlservr.exe   29-мая-2003  23:11                  3 589 120 байт  Sqlservr.pdb   04-окт-2002  23:59  2000.34.4.0        45 328 байт  Ssmsso70.dll   16-мая-2003  00:18  2000.41.14.0       24 848 байт  Ssnmpn70.dll   26-сен-2002  20:30                     28 408 байт  Ums.dbg   26-сен-2002  20:27  2000.33.25.0       57 616 байт  Ums.dll   26-сен-2002  20:29                     99 328 байт  Ums.pdb   16-мая-2003  13:31  2000.41.14.0      151 552 байт  Xpweb70.dll

Проверка

За сведениями об определении номера используемой версии SQL Server обратитесь к следующей статье базы знаний Майкрософт:
321185 Как определить версию и выпуск пакета обновления для SQL Server
После установки данного обновления для системы безопасности любая из следующих инструкций SELECT возвращает строку «7.00.1094»:
SELECT serverproperty('productversion')
SELECT @@Version
Ссылки
Дополнительные сведения об этом обновлении для системы безопасности см. на веб-узле корпорации Майкрософт по адресу:
Свойства

Номер статьи: 821279 — последний просмотр: 02/21/2014 00:46:22 — редакция: 7.1

  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
  • kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Отзывы и предложения