マイクロソフト セキュリティ情報 MS02-061
SQL Server Web タスクで権限が昇格する (316333)
公開日: | 最終更新日:
概要 :
このセキュリティ情報の対象となるユーザー :
Microsoft® SQL Server™ 7.0、SQL Server 2000、Microsoft Data Engine (MSDE) 1.0 および SQL Server 2000 Desktop Engine (MSDE 2000) を使用しているシステム管理者
脆弱性の影響 :
特権の昇格
最大深刻度 :
緊急
推奨する対応策 :
システム管理者は影響を受けるシステムに更新プログラムを適用して下さい。
影響を受けるソフトウェア :
- Microsoft SQL Server 7.0 のすべてのエディション
- Microsoft Data Engine (MSDE) 1.0
- Microsoft SQL Server 2000 のすべてのエディション
- SQL Server 2000 Desktop Engine (MSDE 2000) (MSDE 2000 が含まれている製品のリストは 「よく寄せられる質問」をご覧ください)
詳細
問題
技術的な説明 :
2002 年 10 月 16 日マイクロソフトは SQL プロシージャーの脆弱性を修正するために、セキュリティ情報と更新プログラムをリリースしました。その更新プログラムは現在でもセキュリティの脆弱性と "Slammer" ワームが悪用した脆弱性を修正するのに有効です。(注意: Slammer ワームは SQL Server 2000、および、 MSDE 2000 に影響します。) しかしながら、セキュリティ更新プログラムがセキュリティの脆弱性を除去するのに有効でしたが、特定の状況では問題が発生することが分かりました。その結果、2002 年 10 月 30 日にその問題を修正する更新プログラム 317748 が必要とされました。
お客様が更新プログラムをインストールする事を簡素化するために、マイクロソフトは SQL Server 2000 用の更新プログラムを再リリースしました。SQL Server 2000 の更新プログラムは、お客様のシステムが "Slammer" ワームの影響を受けないようにするために再度リリースされました。新しくリリースされた更新プログラムは、このセキュリティ情報で最初にリリースされたセキュリティの更新プログラムと、技術情報 317748 で報告された SQL Server の問題を修正する更新プログラムを統合します。再リリースされた新しい SQL Server 用の更新プログラムはインストーラー付きでパッケージングされました。インストーラーは、システム管理者が彼らのシステムの SQL Server のファイルを手動でコピーする手順を簡素化します。マイクロソフトがこの更新プログラムで変更した唯一の変更点は、更新された更新プログラムと、技術情報 317748 で修正された更新プログラムを統合し、インストーラーを備えた更新プログラムにしたことです。
既にお客様が最初に公開された更新プログラムの適用が行われていない場合には、この更新された更新プログラムを適用していただく事をお勧めいたします。既にお客様が最初に公開された SQL Server 2000 向けのセキュリティ更新プログラムと、技術情報 317748 で公開している更新プログラムを適用している場合には、この更新された更新プログラムを適用する必要はありません。最初に公開されたセキュリティ更新プログラムは、Slammer ワームからの防御も含めて SQL Server 2000 を守ることに効果があります。お客様が最初に公開されたセキュリティ更新プログラムを適用している場合、技術情報 317748 で述べられている更新プログラムを適用すべきで、これらはよく寄せられる質問や警告欄にも書かれています。
2001年1月17日に公開したセキュリティ情報で、 SQL Server 7.0, SQL Server 2000, Microsoft Data Engine (MSDE) および Microsoft Desktop Engine (MSDE) 2000 用のこの修正以前のすべての修正を含んだ累積的更新プログラムを公開しました。最初に公開した更新プログラムでは、 新たに発見された一つの SQL Server のストアドプロシージャの脆弱性を修正していました。
SQL Server 7.0 および SQL Server 2000 は、1 つの名前で保存され、1 つのユニットとして処理される Transact-SQL ステートメントの集合体であるストアド プロシージャを提供しています。ストアド プロシージャ、拡張ストアド プロシージャおよびテーブルに対する不適切なアクセス権限の組み合わせにより、低い権限しか持たないユーザーが Web タスクを実行、削除、挿入、更新する可能性があります。
SQL Sever に認証された攻撃者は、ほかのユーザーが作成したすべての Web タスクを削除、挿入、または更新することができます。また攻撃者は、既に作成されている Web タスクをその Web タスクの作成者のコンテキストで実行する可能性があります。これは通常 SQL Server エージェント サービス アカウントのコンテキストで実行されます。
問題を緩和する要素 :
- この脆弱性を悪用するには、攻撃者は SQL Server に認証されたユーザーであることが必要条件となります。
- 攻撃者がこの脆弱性を悪用し、SQL Server サービス アカウントのレベルに権限を昇格させることができます。既定で、このサービスはシステムの権限ではなく、ドメイン ユーザーの権限で実行されます。
- 攻撃者がこの脆弱性を悪用するには、Web タスクが最初に存在していることが必要条件となります。
深刻度 :
| SQL Server 7.0 (MSDE 1.0 を含む) | 緊急 |
| SQL Server 2000 (MSDE 2000 を含む) | 緊急 |
上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。認証されたユーザーが SQL Server に接続し、Web タスクの挿入、削除または更新を行う可能性があるため、この問題の深刻度は 「緊急」 と判定されています。2003 年 1 月にこのセキュリティ情報を更新した際に、深刻度の評価方式を新しいマイクロソフト セキュリティ情報の深刻度評価システムに変更しました。
脆弱性識別番号 :
CAN-2002-1145
テストしたバージョン :
マイクロソフトは SQL Server 7.0 および SQL Server 2000 (およびそれらに関連する MSDE のバージョン) のテストを行い、これらの脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、これらの脆弱性による影響は不明です。
よく寄せられる質問
マイクロソフトは SQL Server 2000 の更新プログラムを再リリースしました。再リリースされた更新プログラムで何が変更されましたか?
SQL Server 2000 の更新プログラムは以下の 2 点が変更されました。
- この更新プログラムは、自動インストール パッケージに組み込まれました。元の更新プログラムには、インストーラはありませんでした。
- 再リリースされた更新プログラムには、ある状況下で SQL Server の通常オペレーションが妨害される可能性がある、セキュリティに関連しない問題に対する更新プログラムが含まれています。この問題に関してはマイクロソフト サポート技術情報 317748 で説明されています。この問題に対する更新プログラムは、再リリースされた更新プログラムに含まれ、管理者がマイクロソフト サポート技術情報 317748 の更新プログラムを別途インストールする必要がないように変更されています。
SQL Server 2000 の元の更新プログラムをインストールしました。再リリースされた更新プログラムは必要ですか?
いいえ、必要ありません。元の更新プログラムは、"Slammer" ワーム ウイルスによって悪用される脆弱性を含むセキュリティ上の脆弱性を効果的に修正しています。しかし、317748 の更新プログラムをインストールし、SQL Server の通常オペレーションに影響を及ぼす恐れのある問題を解決する必要があります。この問題に関する情報は、マイクロソフト サポート技術情報 317748 をご覧ください。
マイクロソフトサポート技術情報 317748 の更新プログラムを適用する際に、何か注意点はありますか?
はい、あります。このセキュリティ情報でリリースされた元の更新プログラムをインストールした後に、マイクロソフト サポート技術情報 317748 の更新プログラムをインストールする場合、既存のファイルを上書きするかどうかを確認するダイアログ ボックスが表示されます。その際 [いいえ] を選択し、このセキュリティ更新プログラムに含まれるファイルが上書きされないようにする必要があります。
MS02-039の SQL Server 2000 更新プログラムを適用することにより、この脆弱性が "Slammer" ウイルスに悪用されないように修正されると思いますが、マイクロソフトがこの更新プログラムの適用を推奨しているのはなぜですか?
この更新プログラムは SQL Server 2000 用の最新の累積的なセキュリティ更新プログラムで、これには他の深刻度の高いセキュリティ更新プログラムおよび "Slammer" によって悪用される可能性がある脆弱性に対する修正が含まれています。
SQL Server 7.0 または SQL Server 2000 は使用していませんが、使用しているシステム上に MSDE がインストールされている可能性があると聞きました。MSDE が含まれるマイクロソフトの製品はどれですか?
MSDE 2000 を含むマイクロソフト製品の一覧については、次の Web サイトをご覧下さい。
http://www.microsoft.com/japan/technet/security/bulletin/msdeapps.mspx
MSDE または SQL Server 2000 がシステムにインストールされているかどうかはどのように確認すればよいですか?
[スタート] - [検索] と選択し、ローカル システムで "sqlservr.exe" ファイルを検索します。このファイルがシステム上に存在している場合、MSDE または SQL Server がインストールされています。次に、このファイル上で右クリックし、[プロパティ] - [製品バージョン] を選択します。この製品バージョンが 8.00.0194 から 8.00.0533 の間の数字である場合、SQL Server 2000 または MSDE 2000 が実行されています。この場合、更新プログラムをインストールする前に SQL Server SP2 をインストールする必要があります。
製品バージョンが 8.00.0534 から 8.00.0636 の間である場合、このセキュリティ情報で説明されている更新プログラムをインストールする必要があります。また、Service Pack 3 をインストールすることにより、この問題を解決することもできます。
製品バージョンの数字が 8.00.0534 から 8.00.0636 の間の数字である場合、このセキュリティ情報で説明されているアップデートが必要となります。
ファイルのバージョンをチェックし、SQL Server 2000 または MSDE 用の Service Pack 2 のインストールが必要であることを確認しました。これらのサービスパックはどこで入手できますか?
SQL Server 2000 Service Pack 2 は次の Web サイトからダウンロードできます。
MSDE Service Pack 2 は次の Web サイトからダウンロードできます。
この問題を解決するために、Service Pack 3 をインストールしたいのですが、MSDE または SQL Server 2000 の Service Pack 3 はどこで入手可能ですか?
SQL Server 2000 Service Pack 3 は次の Web からダウンロードできます。
MSDE 2000 Service Pack 3 は次の Web サイトからダウンロードできます。
- 日本語版 : http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- 英語版 : http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- 簡体字中国語 : http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- 繁体字中国語 : http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- スウェーデン語 : http://www.microsoft.com/downloads/details.aspx?displaylang=sv&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- 韓国語版 : http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- ポルトガル語 – ブラジル版 : http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- フランス語版 : http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- イタリア語版 : http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- オランダ語 : http://www.microsoft.com/downloads/details.aspx?displaylang=nl&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- スペイン語 : http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
- ドイツ語 : http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=90dcd52c-0488-4e46-afbf-acace5369fa3
アップデートされた MSDE がインストールされているかどうかを確認するためには何をする必要がありますか?
使用している MSDE のバージョンによって異なります。上記に挙げられた製品で Application Center 2000 以外の製品で MSDE を使用している場合、このセキュリティ更新プログラムを適用するためには、まず MSDE Service Pack 2をインストールする必要があります。MSDE 2000 Service Pack 2 をインストールした後、SQL Server 2000 の更新プログラムをインストールする必要があります。
Microsoft Application Center 2000 を実行している場合、Application Center 専用の MSDE Service Pack 2 のバージョンをインストールする必要があります。この Service Pack は、http://download.microsoft.com/download/AppCenter2000/MSDESP2/QFE813058.exe からインストールすることができます。Application Center バージョンの MSDE Service Pack 2 をインストールした後、SQL Server 2000 のセキュリティ更新プログラムをインストールする必要があります。Application Center 特有のバージョンの MSDE 2000 Service Pack 2 に関しては、マイクロソフト サポート技術情報 813115 をご覧ください。
SQL Server 2000 Service Pack 3 または MSDE 2000 Service Pack 3 を既にインストールしていますが、この場合でも Slammer ワームによる危険にさらされますか?
いいえ。再リリースされたセキュリティ情報に含まれているすべての変更は SQL Server 2000 Service Pack 3 および MSDE 2000 Service Pack 3 に含まれています。
マイクロソフトはなぜ MS02-061 を再リリースしたのですか?
MS02-061 は、システム管理者が更新プログラム用のファイルを手動による適用を解消するインストーラを含めるために再リリースされました。この再リリースされた MS02-061 の更新プログラムは、更新プログラム 317748 を含みます。「信頼されるコンピューティング」 の一部である 「Secure in deployment」 というマイクロソフトの約束に則り、システム管理者がシステムを構成することを容易にするために、これら両方の変更が行われました。更新された MS02-061 に含まれるバイナリは元の MS02-061 および更新プログラム 317748 の組み合わせと同一のものです。元の MS02-061 を適用しているお客様は更新プログラム 317748 の適用の有無に関わらず、Slammer ワームに対し、保護されています。SQL Server 2000 Service Pack 3 をインストールするお客様は MS02-061 の更新プログラムをインストールする必要はありません。
SQL Server 2000 のこの更新プログラムのみを再リリースしたのはなぜですか?
"Slammer" ワーム ウイルスが蔓延したことにより、SQL Server 2000 をご使用のお客様にとって、この更新プログラムの適用が非常に重要となりました。更新プログラムは、お客様が簡単に更新プログラムを適用できるようにするために、新たな SQL Server インストーラが追加され、再パッケージされました。
"Slammer" ワームに関しての詳細情報はどこで得られますか?
“Slammer” ワームに関する詳細は以下のサイトをご覧ください。
http://technet.microsoft.com/ja-jp/library/dd362939.aspx
この累積的な更新プログラムが解決する新たな脆弱性でどのようなことが起こる可能性がありますか?
これは、マイクロソフトが提供したストアド プロシージャ、拡張ストアド プロシージャおよびテーブル上の不適切なアクセス権限で発生する特権の昇格の脆弱性です。攻撃者は SQL Server のストアド プロシージャを実行し、Web タスクを実行することができます。SQL Server に認証されるすべてのユーザーが、このストアド プロシージャを実行することができるため、攻撃者は、ストアド プロシージャを作成したユーザーコンテキストで、事前に保存された Web タスクを実行する可能性があります。それにより、権限を昇格させる可能性があります。通常、ストアド プロシージャを実行することができるのは SQL Server の管理者またはデータベース オペレータである必要があります。
攻撃者がこの脆弱性を悪用するには、攻撃者はまず SQL Server に認証される必要があり、その際も新たな Web タスクを作成することはできません。攻撃者が認証されているデータベースで Web タスクの使用がサポートされていることが必要条件となります。
ストアドプロシージャとは何ですか?
ストアド プロシージャは、1 つの名前で保存され、1 つのユニットとして処理される Transact-SQL ステートメントのプリコンパイルされた集合体です。SQL Server では SQL Server の管理とデータベースおよびユーザー情報の表示のためにストアド プロシージャが提供されています。SQL Server によって提供されるストアド プロシージャは、システム ストアド プロシージャと呼ばれています。
開発者が SQL Server を使用するアプリケーションを作成する場合、Transact-SQL プログラミング言語が開発者のアプリケーションと SQL Server データベース間の主なプログラミング インターフェイスとなります。Transact-SQL プログラムを使用する際、プログラムを保存し、実行するために利用可能な方法が 2 つあります。プログラムをローカルに保存し、SQL Server にコマンドを送信し、結果を処理するアプリケーションを作成することができます。または、開発者はプログラムを SQL Server にストアド プロシージャとして保存し、そのストアド プロシージャを実行し、結果を処理するアプリケーションを作成することができます。
SQL Server のストアド プロシージャは、以下の操作を実行できるという点でほかのプログラミング言語のプロシージャと類似しています。
- 入力パラメータを受け取り、出力パラメータの形式で複数の値を呼び出しプロシージャまたはバッチに返します。
- ほかのプロシージャの呼び出しなど、データベースでの操作を行うプログラミング ステートメントを含めることができます。
- 呼び出しプロシージャまたはバッチへ、処理が成効か失敗かを示すステータス値を返します。(失敗の場合はその理由も返されます。)
SQL Server 拡張ストアドプロシージャとは何ですか?
拡張ストアド プロシージャは、データベース設計者および管理者がカスタマイズした外部ルーチンを、C または C# などのプログラミング言語で作成したものです。拡張ストアド プロシージャは、ユーザーには通常のストアド プロシージャのように見え、同じ方法で実行されます。データベース クエリは、拡張ストアド プロシージャへデータを渡し、その拡張ストアド プロシージャが結果とステータスを返します。たとえば、SQL Server に含まれる拡張ストアド プロシージャの中には、以下のような、電子メール機能を提供するストアド プロシージャがあります。
- SQL メール クライアントセッションを開始する xp_startmail
- 電子メールまたはページを送信する xp_sendmail
Web タスクとは何ですか?
Web タスクは、実行されたクエリによって返されるデータを含む HTML 文書を作成するタスクを作成します。言い換えると、Web 開発者が SQL Server からのデータが必要になる asp ページを作成する場合、その asp ページは SQL Server へ Web リクエストを送信し、検索されたデータを含む http ファイルを作成することができます。
Web タスクとストアドプロシージャはどのような関連性がありますか?
システム ストアド プロシージャを実行することにより Web タスクを作成することができます。
何が原因で起こりますか?
低い権限しか所有していないユーザーがWeb タスクを実行するストアド プロシージャを実行できることに問題が存在します。また、攻撃者がテーブルに対する不適切なアクセス権限とストアド プロシージャとの組み合わせにより、Web タスクを実行、削除、更新する可能性があります。
ストアドプロシージャが Web タスクを実行することの何が問題になっていますか?
SQL Server がアクセス権限を処理する方法に問題が存在します。
この脆弱性により、攻撃者は何ができますか?
攻撃者はこの脆弱性を悪用し、SQL Server にログインし、次に Web タスクを実行するためのストアド プロシージャを実行する恐れがあります。攻撃者は、まずWeb タスクに問い合わせを行い、次にストアド プロシージャを悪用し、それらの Web タスクを実行する可能性があります。また、攻撃者は権限を昇格させる目的で、新しい Web タスクを削除、更新、または挿入する可能性があります。
攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?
攻撃者はこの脆弱性を悪用し、SQL Server にログインし、次にストアド プロシージャを実行する恐れがあります。攻撃者は、まず Web タスクに問い合わせを行い、次にストアド プロシージャを悪用し、それらの Web タスクを実行する可能性があります。または攻撃者は権限を昇格させる目的で、新しい Web タスクを削除、更新、または挿入する可能性があります。
更新プログラムは何を修正しますか?
この更新プログラムは、Web タスクを実行するためのストアド プロシージャに適切なアクセス権限を設定することにより、この脆弱性を排除します。またこの更新プログラムにより Web タスクに関する情報を保存するテーブル上のアクセス権限が制限されます。
SQL Server 2000 システムに元の更新プログラムか新しい更新プログラムのどちらがインストールされているか不明です。システムが保護されているかどうかはどのように確認することができますか?
以下の 2 点を確認してください。
- セキュリティ上の脆弱性から SQL 2000 システムを保護するバージョンの更新プログラムがインストールされている場合、ssnetlog.dll ファイルのバージョン番号は、8.00.679 となります。
- マイクロソフト サポート技術情報 317748 の更新プログラムを適用した場合 (再リリースされた更新プログラムを適用するか、または元の更新プログラムを 317748 からの更新プログラムと組み合わせてインストールした場合)、ssmslpcn.dll および dbmslpcn.dll のバージョン番号は 8.00.568 となります。
更新プログラム
マイクロソフトは SQL Server 2000 用の更新された更新プログラムを利用可能にしました。詳細は、「よく寄せられる質問」に記載されています。
更新された SQL Server 2000 用の更新プログラムは、次のサイトからダウンロードできます。
- http://support.microsoft.com/kb/316333
- SQL Server 2000 をお使いのお客様におかれましては、この問題に対する修正は SQL Server 2000 Service Pack 3 以降に含まれています。SQL Server 2000 日本語版の最新の Service Pack は、以下の Web サイトから入手できます。
http://www.microsoft.com/japan/sql/prodinfo/previousversions/downloads/2000/sp3.mspx
なお、以前の更新プログラムは、次のサイトからダウンロードできます。
- Microsoft SQL Server 7.0:
http://support.microsoft.com/kb/327068 - Microsoft SQL Server 2000:
http://support.microsoft.com/kb/316333
更新プログラムに関する追加情報
対象プラットフォーム :
- SQL Server 7.0 用の更新プログラムは SQL Server 7.0 Service Pack 4 を実行しているシステムにインストールすることができます。
- SQL Server 2000 用の更新プログラムは SQL Server 2000 Service Pack 2 を実行しているシステムにインストールすることができます。
この修正を含む予定のサービスパック :
これらの問題に対する更新プログラムは SQL Server 2000 Service Pack 3 に含まれています。
再起動の必要性 :
なし。しかし、SQL Server サービスを再開する必要がある場合があります。
更新プログラムのアンインストール :
- 元の更新プログラム (2002 年 10 月 16 日リリース) : 不可
- 更新された更新プログラム (2003 年 1 月 26 日リリース) : この更新プログラムはサポート技術情報 330391 で説明されているステップを行うことにより、アンインストールできます。
更新プログラムに含まれる過去の修正 :
この更新プログラムはマイクロソフト セキュリティ情報 MS02-056 で提供された累積的な更新プログラムを含みます。
更新プログラムが正しくインストールされたか確認する方法 :
- SQL Server 7.0:
この更新プログラムが正しくインストールされたことを確認するためには、以下のファイル欄に挙げられているファイルの日付/タイム スタンプを参照し、各ファイルを確認して下さい。日付 バージョン サイズ ファイル名
-----------------------------------------------------------------
09/06/2002 7.00.1077 53,520 bytes Distrib.exe
11/30/2000 1,447 bytes Eula_jpn.txt
09/06/2002 7.00.1077 98,576 bytes Logread.exe
09/06/2002 99,352 bytes Opends60.dbg
09/06/2002 7.00.1077 160,016 bytes Opends60.dll
09/06/2002 132,096 bytes Opends60.pdb
09/06/2002 7.00.1077 250,128 bytes Rdistcom.dll
10/16/2002 9,329 bytes Readme.txt
09/06/2002 7.00.1077 82,192 bytes Replmerg.exe
09/06/2002 7.00.1077 78,096 bytes Replres.dll
09/17/2002 7,941 bytes Securityhotfix.sql
09/06/2002 7.00.1077 160,016 bytes Snapshot.exe
09/06/2002 7.00.1077 344,064 bytes Sqlagent.exe
09/06/2002 45,056 bytes Sqlcmdss.dll
09/06/2002 4,368,196 bytes Sqlservr.dbg
09/06/2002 7.00.1077 5,058,832 bytes Sqlservr.exe
09/06/2002 3,580,928 bytes Sqlservr.pdb
09/17/2002 7.00.1077 151,552 bytes Xpweb70.dll - SQL Server 2000:
この更新プログラムが正しくインストールされたことを確認するためには、以下のファイル欄に挙げられているファイルの日付/タイム スタンプを参照し、各ファイルを確認して下さい。日付 バージョン サイズ ファイル名
-----------------------------------------------------------------
08/30/2002 786,432 bytes Distmdl.ldf
08/30/2002 2,359,296 bytes Distmdl.mdf
11/30/2000 1,447 bytes EULA_jpn.txt
07/02/2002 2000.80.650.0 107,088 bytes Impprov.dll
07/19/2002 774,516 bytes Instdist.sql
08/20/2002 2000.80.679.0 111,172 bytes Logread.exe
04/06/2002 2000.80.606.0 62,024 bytes Odsole70.dll
01/02/2002 18,185 bytes Qfe356326.sql
07/09/2002 3,672 bytes Qfe360814_dist.sql
08/20/2002 2000.80.679.0 135,748 bytes Qrdrsvc.exe
08/26/2002 2000.80.679.0 406,088 bytes Rdistcom.dll
10/10/2002 15,947 bytes Readme_jpn.txt
10/03/2001 437,302 bytes Replcom.sql
08/20/2002 2000.80.679.0 152,136 bytes Replmerg.exe
11/19/2001 993,945 bytes Replmerg.sql
10/03/2001 986,906 bytes Replsys.sql
10/03/2001 881,228 bytes Repltran.sql
08/26/2002 2000.80.679.0 283,208 bytes Rinitcom.dll
09/16/2002 390,045 bytes SecurityHotfix.sql
07/30/2002 2000.80.664.0 25,088 bytes Servpriv.exe
08/26/2002 2000.80.679.0 28,672 bytes Sqlagent.dll
08/26/2002 2000.80.679.0 311,872 bytes Sqlagent.exe
09/05/2002 2000.80.679.0 49,152 bytes Sqlagent.rll
08/26/2002 2000.80.679.0 53,824 bytes Sqlcmdss.dll
09/05/2002 2000.80.679.0 12,288 bytes Sqlcmdss.rll
08/26/2002 2000.80.679.0 7,467,092 bytes Sqlservr.exe
08/26/2002 12,633,088 bytes Sqlservr.pdb
08/26/2002 2000.80.679.0 82,492 bytes Ssnetlib.dll
01/04/2002 18,130 bytes Uninstall.sql
04/06/2002 2000.80.606.0 70,208 bytes Xplog70.dll
04/06/2002 2000.80.606.0 53,828 bytes Xpqueue.dll
04/06/2002 2000.80.606.0 156,228 bytes Xprepl.dll
07/11/2002 2000.80.658.0 279,104 bytes Xpstar.dll
09/27/2002 2000.80.686.0 98,816 bytes Xpweb70.dll
警告 :
- Microsoft Windows NT Server 4.0 Service Pack 6a を実行している場合、この更新プログラムを適用する前に、マイクロソフト サポート技術情報 258437 で説明されているホットフィックスを適用する必要があります。258437 は現在ダウンロードにて入手可能です。詳細はサポート技術情報 258437 をご覧ください。
- この累積的な更新プログラムにはマイクロソフト セキュリティ情報 MS02-035 で提供された Killpwd ツールの機能は含まれません。
- この更新プログラムは SQL Server 2000 に含まれる MDAC 及び OLAP 用の更新プログラムは含んでいません。そのため、MDAC 及び OLAP に対するセキュリティ更新プログラムに関しては別途適用を行う必要があります。SQL Server 2000 Service Pack 2 以降にリリースされた SQL Server 2000 に対応した MDAC または OLAP 用の更新プログラムは、次のセキュリティ情報で説明されている更新プログラムです。
- マイクロソフト セキュリティ情報 MS02-030
- 更新プログラムのインストール プロセスは、サーバーの構成によって異なります。システム管理者は、更新プログラムのパッケージの Readme.txt ファイルを読み、更新プログラムを正しくインストールするよう確認してください。
- 最初に公開した SQL Server 2000 および MSDE 2000 用の更新プログラムをすでに適用している場合は、サポート技術情報 317748 の更新プログラムを適用する場合は、既に適用されているセキュリティ更新プログラムが削除されないよう、ファイルの上書きの確認が表示された場合は、"いいえ" を選択する必要があります。更新したセキュリティ更新プログラムは、この修正を含みます。最初に公開した更新プログラムは、SQL Server 2000 の安定動作に必要な サポート技術情報 317748 の修正が含まれていない事がわかりました。
更新した SQL Server 2000 および MSDE 2000 の更新プログラムにはサポート技術情報 317748 の修正が含まれています。
他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。
- セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード検索によって容易に見つけることができます。
- コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
その他の情報
詳細情報 :
- US マイクロソフトセキュリティ情報(MS02-061)
http://www.microsoft.com/technet/security/bulletin/ms02-061.mspx - サポート技術情報 (KB) 文書番号 : 316333
[INF] SQL Server 2000 Service Pack 2 のセキュリティ アップデート - サポート技術情報 (KB) 文書番号 : 327068
[INF] SQL Server 7.0 Service Pack 4 のセキュリティ アップデート
更新履歴 :
- 2002/10/17: このセキュリティ情報ページを公開しました。
- 2002/10/24: この問題に対する日本語版 KB を公開しました。
- 2003/1/26: インストール機能の付いた更新プログラムを公開しました。
- 2003/1/27: 「よく寄せられる質問」 を更新し、更新されたファイルおよびバージョン番号の情報をお知らせしました。
- 2003/1/29: 「更新プログラムに関する追加情報」 の欄に再リリースされた更新プログラムのアンインストールに関する説明を追加しました。また、MSDE のサービス パックのダウンロード サイト、および MSDE を含む製品の一覧が記載されている Web ページへのリンクを 「よく寄せられる質問」 に追加しました。
- 2003/3/3: 「更新プログラムに含まれる過去の修正」 の情報を修正しました。
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。