你目前正处于脱机状态,正在等待 Internet 重新连接

MS03-033: Microsoft 数据访问组件安全更新

概要
Microsoft Data Access Components (MDAC) 是一个组件集合,用于在 Microsoft Windows 操作系统上提供数据库连接。MDAC 是一种常用的技术,大多数 Windows 系统上都可能有。

默认情况下,MDAC 作为一个组成部分包括在 Windows XP、Windows 2000 和 Windows Millennium Edition (Me) 中。许多其他产品和技术中也包含了或安装了 MDAC。例如,Microsoft Windows NT 4.0 Option Pack 和 Microsoft SQL Server 2000 中都有 MDAC;而且,即使未安装 MDAC 本身,Microsoft Internet Explorer 中也包含某些 MDAC 组件。此外,MDAC 还作为一种独立的技术来提供。如要下载 MDAC,请访问下面的 Microsoft 网站: MDAC 的早于 2.8 的各种版本中存在一个缺陷,此缺陷会造成缓冲区溢出漏洞。MDAC 为许多数据库操作提供了基本功能,如连接到远程数据库和向客户端返回数据。当网络上的客户机尝试查看运行着 Microsoft SQL Server 的、驻留在网络上的计算机的列表时,它将向网络上的所有设备发送一个广播请求。由于一个特定的 MDAC 组件中存在缺陷,攻击者可以使用一个特意创建的数据包进行响应,从而导致出现缓冲区溢出。本文介绍的安全修补程序用于修补缓冲区溢出漏洞。

成功利用此缺陷的攻击者可以在系统上获取与发起上述广播请求的应用程序相同的用户权限级别。此权限可包括创建、修改或删除系统上的数据,重新配置系统,重新格式化硬盘,或在系统上运行攻击者选择的程序。

下面是一些可以减轻不良影响的因素:
  • 为使攻击能够成功,攻击者必须模拟与目标系统处于同一子网的运行 Microsoft SQL Server 的计算机。
  • 在客户端系统上执行的代码将仅在登录用户的管理凭据所具有的权限下运行。
  • MDAC 2.8 版不包含本公告修复的缺陷。 有关 MDAC 2.8 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    820761MDAC 2.8 中包含的重要修复程序列表
更多信息

下载信息

从 Microsoft 下载中心可以下载以下文件:
下载立即下载 Microsoft Data Access Components (MDAC) 安全修补程序 MS03-033 程序包。 发布日期:2003 年 8 月 20 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

注意:此修补程序与特定的语言无关。

先决条件

您必须在运行 MDAC 的下列版本之一:
  • MDAC 2.5 Service Pack 2
  • MDAC 2.5 Service Pack 3
  • MDAC 2.6 Service Pack 2
  • MDAC 2.7 RTM
  • MDAC 2.7 Service Pack 1
MDAC 的更早版本虽然也有漏洞,但不受支持。您必须升级到上面列出的 MDAC 版本才能应用此修补程序。

您可以通过检查注册表来确定您正在运行的 MDAC 版本。可在以下注册表项中找到版本信息:
HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess\FullInstallVer

要查看注册表,请按照下列步骤操作:
  1. 单击“开始”,然后单击“运行”。
  2. 在“打开”文本框中,键入 regedit,然后单击“确定”。启动注册表编辑器。
  3. 在导航窗口,找到以下注册表项:
    HKEY_LOCAL_MACHINE\Software\Microsoft\DataAccess
  4. 在细节窗格中,在名称栏中找到 FullInstallVer 和版本。其中的每个注册表项在数据列中都有相应的版本信息。请将此信息与下表中的版本信息进行比较。
  5. 完成后,单击“注册表”菜单上的“退出”以关闭注册表编辑器。
MDAC 版本完全安装版本
MDAC 2.5 RTM2.50.xxxx.x
MDAC 2.5 SP12.51.xxxx.x
MDAC 2.5 SP22.52.xxxx.x
MDAC 2.5 SP32.53.xxxx.x
MDAC 2.6 RTM2.60.xxxx.x
MDAC 2.6 SP12.61.xxxx.x
MDAC 2.6 SP22.62.xxxx.x
MDAC 2.7 RTM2.70.xxxx.x
MDAC 2.7 SP12.71.xxxx.x
MDAC 2.8 RTM2.80.xxxx.x
有关如何确定您当前的 MDAC 版本的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
301202如何检查 MDAC 版本

安装信息

此安全修补程序是通过一个安装程序安装的。

注意:此安装程序只有英文版。

安装选项

此更新程序支持以下安装开关:
开关                说明-------------------------------------------------------------------------/?                显示安装开关列表/Q                安静模式/T:<完整路径>      指定临时工作文件夹/C                与 /T 一起使用时,只将文件提取到该文件夹/C:<Cmd>          替代作者定义的安装命令/N                无重新启动对话框				

例如,以下命令行命令会以无用户干预方式安装更新程序并禁止重启:

Q823718_MDAC_SecurityPatch /C:"dahotfix.exe /q /n" /q

为 dahotfix.exe 指定的 /q 选项用于指定无提示安装,/n 选项禁止重启。

警告:只有在重新启动计算机后,计算机中才不再有漏洞。

重新启动要求

应用此更新程序后,必须重新启动计算机。

删除信息

此安全修补程序在安装之后无法删除。

安全修补程序代替信息

此安全修补程序代替了 Microsoft 安全公告 MS02-040 中提供的安全修补程序。有关 Microsoft 安全公告 MS02-040 的更多信息,请访问以下 Microsoft 网址: 有关 Microsoft 安全公告 MS02-040 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
326573MS02-040:Microsoft 数据访问组件的安全更新

文件信息

此安全修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为当地时间。要了解 UTC 与当地时间之间的时差,请使用“控制面板”中“日期和时间”工具中的“时区”选项卡。

MDAC 2.5 Service Pack 2

日期           时间    版本                 大小      文件名--------------------------------------------------------------23-Jul-2003  20:56  3.520.6100.40     212,992  Odbc32.dll       21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll      23-Jul-2003  02:29  3.520.6100.40     102,672  Odbccp32.dll     21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll     				

MDAC 2.5 Service Pack 3

日期           时间    版本                 大小      文件名--------------------------------------------------------------24-Jul-2003  00:13  3.520.6300.40     212,992  Odbc32.dll       21-Jul-2003  22:24  3.70.11.40         24,848  Odbcbcp.dll24-Jul-2003  00:11  3.520.6300.40     102,672  Odbccp32.dll     21-Jul-2003  22:24  3.70.11.40        524,560  Sqlsrv32.dll				

MDAC 2.6 Service Pack 2

日期           时间    版本                 大小      文件名--------------------------------------------------------------21-Jul-2003  17:28  2000.80.746.0      86,588  Dbnetlib.dll     22-Jul-2003  22:04  3.520.7501.40     217,360  Odbc32.dll       21-Jul-2003  17:28  2000.80.746.0      29,252  Odbcbcp.dll      22-Jul-2003  22:04  3.520.7501.40     102,672  Odbccp32.dll     31-Jul-2003  23:07  2000.80.746.0     479,800  Sqloledb.dll     21-Jul-2003  17:28  2000.80.746.0     455,236  Sqlsrv32.dll     				

MDAC 2.7 RTM

日期           时间    版本                 大小      文件名--------------------------------------------------------------31-Jul-2003  17:49  2000.81.9001.40    61,440  Dbnetlib.dll     22-Jul-2003  23:04  3.520.9001.40     204,800  Odbc32.dll       22-Jul-2003  23:10  2000.81.9001.40    24,576  Odbcbcp.dll      22-Jul-2003  23:10  3.520.9001.40      94,208  Odbccp32.dll     31-Jul-2003  17:49  2000.81.9001.40   450,560  Sqloledb.dll     22-Jul-2003  23:08  2000.81.9001.40   356,352  Sqlsrv32.dll     				

MDAC 2.7 Service Pack 1

日期           时间    版本                  大小     文件名--------------------------------------------------------------22-Jul-2003  18:27  2000.81.9041.40    61,440  Dbnetlib.dll     22-Jul-2003  18:22  3.520.9041.40     204,800  Odbc32.dll       22-Jul-2003  18:28  2000.81.9041.40    24,576  Odbcbcp.dll      22-Jul-2003  18:28  3.520.9041.40      98,304  Odbccp32.dll     31-Jul-2003  18:47  2000.81.9041.40   471,040  Sqloledb.dll     22-Jul-2003  18:27  2000.81.9041.40   385,024  Sqlsrv32.dll     				

验证

确保您拥有本文列出的文件的正确版本。

您也可以通过检查
HKLM\Software\Microsoft\Updates
注册表项和已安装的文件版本下是否存在以下项目来验证此修复程序是否已安装。您应该看到以下项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q823718
参考
有关此安全修补程序的其他信息,请查阅 Microsoft 安全公告 MS03-033:
属性

文章 ID:823718 - 上次审阅时间:02/16/2007 09:57:51 - 修订版本: 5.3

  • Microsoft Data Access Components 2.7 Service Pack 1
  • Microsoft Data Access Components 2.7
  • Microsoft Data Access Components 2.6 Service Pack 2
  • Microsoft Data Access Components 2.5 Service Pack 3
  • Microsoft Data Access Components 2.5 Service Pack 2
  • kbsecvulnerability kbsecurity kbsecbulletin kbbug kbfix KB823718
反馈