MS03-031: Säkerhetskorrigering för SQL Server 7.0 Service Pack 4

Den här artikeln har arkiverats. Den erbjuds "i befintligt skick" och kommer inte längre att uppdateras.
Sammanfattning
Den här artikeln innehåller information om en säkerhetskorrigering för SQL Server 7.0 Service Pack 4 (SP4) och Microsoft Data Engine 1.0 SP4. Säkerhetskorrigeringen ersätter alla tidigare säkerhetskorrigeringar som dokumenteras i följande artikel i Microsoft Knowledge Base, däribland säkerhetskorrigeringen för Microsoft-säkerhetsbulletinen MS02-061 för SQL Server 7.0:
327068 Säkerhetsuppdatering för SQL Server 7.0 Service Pack 4 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Viktigt!

Det här paketet innehåller inte säkerhetskorrigeringarna i Microsoft Data Access Components (MDAC) och SQL Server Analysis Services.

Denna säkerhetsuppdatering löser följande säkerhetsproblem:
 • Kapning av en namngiven pipe
  När SQL Server startas skapar och lyssnar det på en viss namngiven pipe efter inkommande anslutningar till servern. En namngiven pipe är en särskilt namngiven en- eller tvåvägskanal för kommunikation mellan en pipe-server och en eller flera pipe-klienter. SQL Server kontrollerar denna namngivna pipe för att undersöka vilka anslutningar som kan logga in på datorn där SQL Server körs för att köra frågor mot data som är lagrade på servern.

  Det finns ett fel i kontrollmetoden för den namngiven pipen som gör att en lokal angripare på datorn där SQL Server körs kan få kontroll över den namngivna pipen när ett autentiserat inloggningslösenord används för inloggning från en annan klient. Detta kan medföra att angriparen tar kontroll över den namngivna pipen på samma behörighetsnivå som användaren som försöker ansluta. Om användaren som försöker ansluta från en annan dator har en högre behörighetsnivå än angriparen får angriparen den behörigheten när den namngivna pipen angrips.
 • DoS (Denial of Service) i en namngiven pipe
  I samma scenario som beskrivs i "Kapning av en namngiven pipe" i den här bulletinen kan en oautentiserad användare inom intranätet skicka ett mycket stort paket till en viss namngiven pipe där datorn med SQL Server lyssnar, vilket medför att denna dator slutar svara.

  Detta säkerhetsproblem ger inte en angripare möjlighet att köra skadlig kod eller höja sin behörighet, men det kan medföra ett DoS-tillstånd (Denial of Service) som gör att servern måste startas om.
 • Buffertöverskridning i SQL Server
  Det finns ett fel i en viss Windows-funktion som kan ge en autentiserad användare med direkt inloggningsåtkomst på datorn med SQL Server möjlighet att skapa ett särskilt utformat paket, som när det skickas till datorns LPC-port (Local Procedure Call) kan medföra en buffertöverskridning. Felet kan göra att en användare med begränsad behörighet på datorn kan höja sin behörighet till SQL Server-tjänstkontots nivå eller köra skadlig kod.
Mer Information

Viktigt!

Läs följande viktiga information om installation av säkerhetskorrigeringen på en dator med SQL Server 7.0 SP4.

Ett felmeddelande visas vid anslutning till en dator med Microsoft Windows NT 4.0 med hjälp av namngivna pipes

När en användare som inte är administratör ansluter till en dator med Windows NT 4.0 och SQL Server 7.0 med hjälp av namngivna pipes kan ett felmeddelande av följande slag visas:
Meddelande 1
Det gick inte att upprätta en anslutning. SQL Server finns inte.
Meddelande 2
Det gick inte att upprätta en anslutning. Åtkomst nekad.
Information om hur du skaffar en snabbkorrigering för det här felmeddelandet finns i följande artikel i Microsoft Knowledge Base:
823492 Felmeddelandet "Det gick inte att upprätta en anslutning" visas vid anslutning till en dator med Windows NT 4.0 och SQL Server 2000 eller SQL Server 7.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Förutsättningar

Denna säkerhetskorrigering kräver SQL Server 7.0 SP4.

Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
301511 Hur du hämtar senaste Service Pack för SQL Server 7.0 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
För klusterinstallationer av SQL Server 7.0 måste du först frigöra SQL Server från klustret genom att köra SQL Server Failover Wizard från den primära klusternoden på varje virtuell SQL Server.
Aktiv/Aktiv
Gör följande för en Aktiv/Aktiv-installation:
 1. Se till att datornoden där SQL Server 7.0 ursprungligen installerades styr båda SQL Server-resursgrupperna.
 2. Kör verktyget Failover Setup Wizard på varje nod i klustret för borttagning av denna virtuella SQL Server.
 3. När du har frigjort SQL Server från klustret måste du köra den körbara snabbkorrigeringsfilen på båda noderna och slutföra installationen av snabbkorrigeringen innan du klustrar SQL Server igen.
Aktiv/Passiv
Gör följande för en Aktiv/Passiv-installation:
 1. Se till att datornoden där SQL Server 7.0 ursprungligen installerades styr SQL Server-resurserna.
 2. Kör verktyget Failover Setup Wizard på samma datornod för borttagning av denna virtuella SQL Server.
 3. När du har frigjort SQL Server från klustret måste du köra den körbara snabbkorrigeringsfilen enbart på den primära noden och slutföra installationen av snabbkorrigeringen innan du klustrar SQL Server igen.

Information om hämtning

Följande fil kan hämtas från Microsoft Download Center:
Utgivningsdatum: 23 juli 2003

Om du vill ha mer information om hur du hämtar Microsoft-supportfiler klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
119591 Hämta Microsoft-supportfiler från Onlinetjänster
Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

Installationsinformation

Denna säkerhetskorrigering stöder följande installationsväxlar:
VäxelBeskrivning
/sInaktiverar förloppsdialogrutan Self Extraction. Måste komma före växeln /a.
/aDenna parameter måste komma före alla övriga parametrar utom /s om du kör snabbkorrigeringen med hjälp av den självextraherande EXE-filen och du vill inkludera parametrar för obevakade installationer. Detta är en obligatorisk parameter om installationsprogrammet ska köras i obevakat läge.
/qDenna växel medför att installationsprogrammet körs utan meddelanden och utan användargränssnitt.
BLANKSAPWD Denna parameter Innebär att sa-lösenordet för SQL-autentisering är tomt. Om du anger den här parametern på datorer med Windows NT eller Windows 2000, åsidosätts standardinloggningen för Windows-autentisering och ett försök görs till inloggning med ett tomt sa-lösenord. Det korrekta formatet för parametern är BLANKSAPWD=1. Parametern är endast godkänd för obevakade installationer.
SAPWDIcke-tomt sa-lösenord. Om du anger denna parameter måste det vara i form av SAPWD=dittsalösenord. Den här parametern har företräde framför standard-Windows-autentisering på datorer med Windows NT eller Windows 2000, eller BLANKSAPWD, om det har angetts.
Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
330391 Installationsprogram för SQL Server-snabbkorrigering (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Krav på omstart

Du behöver inte starta om datorn när du har installerat den här säkerhetskorrigeringen om du inte uppmanas till det av installationsprogrammet för säkerhetskorrigeringen.

Information om borttagning

Det går inte att ta bort den här säkerhetskorrigeringen om du inte säkerhetskopierade vissa kataloger innan du installerade säkerhetskorrigeringen. Mer information finns i "How to Remove or Rollback the Hotfix" i följande artikel i Microsoft Knowledge Base:
330391 Installationsprogram för SQL Server-snabbkorrigering (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Ersättningsinformation

Säkerhetskorrigeringen ersätter alla tidigare säkerhetskorrigeringar som dokumenteras i följande artikel i Microsoft Knowledge Base, däribland säkerhetskorrigeringen för Microsoft-säkerhetsbulletinen MS02-061 för SQL Server 7.0:
327068 Säkerhetsuppdatering för SQL Server 7.0 Service Pack 4 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Filinformation

Den engelska versionen av det här paketet har filattributen som visas i följande tabell (eller senare). Datum och tider för dessa filer anges i UTC-tid (Coordinated Universal Time). Innan du läser filinformationen konverteras den till lokal tid. Du kan se skillnaden mellan UTC-tid och lokal tid med hjälp av fliken Tidszon i verktyget Datum och tid på Kontrollpanelen.
  Datum     Tid  Version     Storlek       Filnamn  -----------------------------------------------------------------------  04-okt-2002 23:59 2000.34.4.0    28 944 byte Dbmssocn.dll    06-sep-2002 23:55 2000.33.6.0    53 520 byte Distrib.exe     06-sep-2002 23:55 2000.33.6.0    98 576 byte Logread.exe     05-maj-2003 18:34           54 904 byte Opends60.dbg  05-maj-2003 18:34 2000.41.2.0    155 920 byte Opends60.dll    05-maj-2003 18:34          132 096 byte Opends60.pdb  06-sep-2002 23:56 2000.33.6.0    250 128 byte Rdistcom.dll    06-sep-2002 23:55 2000.33.6.0    82 192 byte Replmerg.exe    06-sep-2002 23:56 2000.33.6.0    78 096 byte Replres.dll     17-sep-2002 22:52           7 941 byte Securityhotfix.sql  06-sep-2002 23:56 2000.33.6.0    160 016 byte Snapshot.exe    30-maj-2003 04:21           59 214 byte Sp4_serv_uni.sql  15-jan-2003 01:33 2000.37.13.0   344 064 byte Sqlagent.exe    06-sep-2002 23:55 2000.33.6.0    45 056 byte Sqlcmdss.dll    16-maj-2003 00:18 2000.41.14.0  2 629 632 byte Sqldmo.dll     16-maj-2003 13:29 2000.41.14.0    81 920 byte Sqlmap70.dll    29-maj-2003 23:11         4 370 404 byte Sqlservr.dbg  30-maj-2003 02:44 2000.41.28.0  5 062 928 byte Sqlservr.exe    29-maj-2003 23:11         3 589 120 byte Sqlservr.pdb  04-okt-2002 23:59 2000.34.4.0    45 328 byte Ssmsso70.dll    16-maj-2003 00:18 2000.41.14.0    24 848 byte Ssnmpn70.dll    26-sep-2002 20:30           28 408 byte Ums.dbg  26-sep-2002 20:27 2000.33.25.0    57 616 byte Ums.dll       26-sep-2002 20:29           99 328 byte Ums.pdb  16-maj-2003 13:31 2000.41.14.0   151 552 byte Xpweb70.dll

Verifiering

Använd följande artikel i Microsoft Knowledge Base för att fastställa vilken version av SQL Server som används:
321185 Identifiera version och utgåva för SQL Server (Länken kan leda till en webbplats som är helt eller delvis på engelska)
När du har installerat den här säkerhetskorrigeringen ska "7.00.1094" returneras när du kör någon av följande SELECT-satser:
SELECT serverproperty('produktversion') 
SELECT @@Version
Referenser
Mer information om den här säkerhetskorrigeringen finns på följande Microsoft-webbplats:
Egenskaper

Artikel-id: 821279 – senaste granskning 02/27/2014 05:27:48 – revision: 7.1

 • Microsoft SQL Server 7.0 Service Pack 4
 • Microsoft Data Engine 1.0
 • Microsoft Data Engine 1.0
 • kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279
Feedback