マイクロソフト セキュリティ情報 MS03-031
Microsoft SQL Server 用の累積的な修正プログラム (815495)
公開日: | 最終更新日:
概要 :
このセキュリティ情報の対象となるユーザー :
Microsoft® SQL Server™ 7.0、SQL Server 2000、Microsoft Data Engine (MSDE) 1.0、Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) および SQL Server 2000 Desktop Engine (Windows) を使用しているシステム管理者
脆弱性の影響 :
攻撃者が選択したコードが実行される可能性があります。
最大深刻度 :
重要
推奨する対応策 :
システム管理者は影響を受けるシステムにセキュリティ更新プログラムを適用して下さい。
影響を受けるソフトウェア :
- Microsoft SQL Server 7.0
- Microsoft Data Engine (MSDE) 1.0
- Microsoft SQL Server 2000
- Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
- Microsoft SQL Server 2000 Desktop Engine (Windows)
詳細
問題
技術的な説明 :
これは累積的な更新プログラムで、SQL Server 7.0、SQL Server 2000 および Microsoft Data Engine (MSDE) 1.0、Microsoft Desktop Engine (MSDE) 2000 用に以前にリリースされたすべての更新プログラムを含みます。さらに、新たに確認された 3 つの脆弱性を排除しています。
- 名前付きパイプのハイジャク
システムの起動時に、SQL Server はサーバーへの接続のため特定の名前付きパイプを作成し、リッスンします。名前付きパイプは、パイプ サーバーおよび 1 つ以上のパイプ クライアント間で通信するために固有の名前がつけられた、片方向または 両方向のチャネルです。名前付きパイプは、SQL Server を実行しているサーバーにローカルログオンし、保存されているデータに対し、クエリを実行するための接続試行が検証されます。名前付きパイプをチェックする方法に問題が存在することで、 SQL Server を実行しているサーバーにローカルログオンしている攻撃者が、別のクライアントのログオン パスワードの認証中に、名前付きパイプをハイジャックする (制御を獲得する) 可能性があります。これにより、攻撃者は接続を試行しているユーザーと同じレベルの権限で名前付きパイプの制御を取得する可能性があります。リモートで接続しようとしているユーザーが攻撃者よりも高い権限を持っている場合、名前付きパイプが侵害されることで、これらの権限が攻撃者により取得されます。 - 名前付きパイプのサービス拒否
このセキュリティ情報の 「名前付きパイプのハイジャック」 の欄で説明した名前付きパイプと同じシナリオで、イントラネットに対してアクセスできる認証されていないユーザーが特定の名前付きパイプに非常に大きなパケットを送信し、そのサーバーが応答できない状態になる可能性があります。この脆弱性により、攻撃者は任意のコードを実行することや、権限を昇格させることはできません。しかし、サービス拒否の状況に陥る可能性があります。その結果、サーバーを再起動して、機能を回復する必要があります。 - SQL Server のバッファオーバーラン特定の Windows の機能に問題が存在するため、SQL Server を実行しているサーバーにログオンできるユーザーが、不正なパケットを作成し、これをサーバーがリッスンしているローカル プロシージャ コール (LPC) ポートに送ることにより、バッファ オーバーランが起こる可能性があります。これが悪用されると、システムで制限された権限を持つユーザーがその権限を SQL Server サービス アカウントのレベルまで昇格させる、または任意のコードを実行できる可能性があります。
問題を緩和する要素 :
名前付きパイプのハイジャック :
- この問題が悪用されるには、攻撃者はシステムに対し、ローカルで認証されたユーザーであることが必要条件となります。
- この脆弱性が悪用されても、攻撃者により、名前付きパイプの制御をリモートから取得されることはありません。
名前付きパイプのサービス拒否 :
- この脆弱性が悪用されるには、攻撃者が認証されることは必要条件ではありませんが、ローカル イントラネットへのアクセスが必要条件となります。
- サーバーを再起動すると通常の操作が回復されます。
- この問題が悪用されても、攻撃者により、システムへのアクセスまたはデータベースに含まれる情報へのアクセスが取得されることはありません。
SQL Server のバッファオーバーラン :
- この脆弱性が悪用されるには、攻撃者はシステムに対しローカルで認証されたユーザーであることが必要条件となります。
- この脆弱性がリモートで悪用されることはありません。
深刻度 :
| SQL 7.0 | MSDE 1.0 | SQL 2000 | MSDE 2000 | MSDE (Windows) | すべての脆弱性の 総合的な深刻度 | |
|---|---|---|---|---|---|---|
| 名前付きパイプのハイジャック | 重要 | 重要 | 重要 | 重要 | 重要 | 重要 |
| 名前付きパイプのサービス拒否 | 重要 | 重要 | 重要 | 重要 | 重要 | 重要 |
| SQL Server のバッファオーバーラン | 重要 | 重要 | 重要 | 重要 | 重要 | 重要 |
上記の評価はこの脆弱性の影響を受けるシステムの種類、システムの典型的な展開形式およびこの脆弱性がシステムに及ぼす影響に基づいています。
脆弱性識別番号 :
- 名前付きパイプのハイジャック :CAN-2003-0230
- 名前付きパイプのサービス拒否 :CAN-2003-0231
- SQL Server のバッファオーバーラン :CAN-2003-0232
テストしたバージョン :
マイクロソフトは SQL Server 7.0、MSDE 1.0、SQL Server 2000 Service Pack 3、SQL Server 2000 SP3a、MSDE 2000 Service Pack 3 および MSDE (Windows) のテストを行い、これらの脆弱性による影響を評価しました。それ以前のバージョンに関してはサポートの対象となっていないため、この脆弱性による影響は不明です。
よく寄せられる質問
この累積的な更新プログラムはどのような脆弱性を排除しますか?
これは累積的な更新プログラムで、適用すると、以前に報告された SQL Server に存在するすべての脆弱性を解決します。さらに、新たに確認された 3 つの脆弱性を排除します。
- 既に認証されており、SQL Server に物理的なアクセス権を持つユーザーにより、サーバーで追加の権限が取得される可能性のある脆弱性
- 攻撃者がコンピュータでサービス拒否の状態を起こす可能性のある脆弱性
- サーバーにアクセス権を持つ認証されたユーザーにより、サーバーでプログラムが実行される、または SQL Server サービス アカウントまで権限が昇格される可能性のある脆弱性
これは累積的な更新プログラムですか?
この更新プログラムは SQL Server 7.0 および SQL Server 2000 データベース エンジンに関連する以前にリリースされたすべてのセキュリティ更新プログラムを含みます。しかし、SQL Server を実行しているサーバーを完全にセキュアにするには、この累積的な更新プログラムを適用するだけでは充分ではありません。
- マイクロソフト セキュリティ情報 MS02-035 で説明された SQL Server 2000の 1 つのセキュリティ修正は更新プログラムの適用ではなく、ツールを使用することによる改善策が必要となります。このツールは 1 回のみ実行すればよいため、以前にこのツールを実行したお客様は追加の操作を行う必要はありません。しかし、この累積的な更新プログラムをインストールしても、ツールは実行されません。
- この累積的な更新プログラムは SQL Server の Microsoft Data Access Components (MDAC) または Online Analytic Processing (OLAP) 技術に関連するセキュリティ上の脆弱性に対する修正を含みません。これらの問題 (このセキュリティ情報の「警告」欄に示してあります) に対する更新プログラムは別途適用する必要があります。
このセキュリティ情報の「影響を受けるソフトウェア」の欄に Microsoft Desktop Engine (MSDE) もまたこれらの脆弱性の影響を受けると記載されていますが、この MSDE とは何ですか?
Microsoft Desktop Engine (MSDE) (英語情報) は SQL Server の技術に基づいて構築されたデータベース エンジンで、Microsoft Visual Studio および Microsoft Office Developer Edition を含む、いくつかのマイクロソフト製品に同梱されています。MSDE のバージョンと SQL Server のバージョンは直接関連しています。MSDE 1.0 は、SQL Server 7.0 の技術を基に構築されており、MSDE 2000 は SQL Server 2000 に基づいています。MSDE を同梱する製品の一覧については、以下のサイトをご覧ください。
http://www.microsoft.com/technet/security/bulletin/msdeapps.mspx
Microsoft Desktop Engine を同梱する Windows のバージョンはありますか?
はい。Microsoft Desktop Engine (MSDE) は Universal Description, Discovery, and Integration (英語情報) (UDDI) をサポートする Windows Server 2003 に含まれます。この MSDE は、Microsoft SQL Server 2000 Desktop Engine (Windows) と呼ばれ、コントロール パネルに "SQL Server Desktop Engine (UDDI)" と表示されます。そのほかの Windows のバージョンは MSDE を同梱しません。
SQL Server 2000 Desktop Engine (Windows) は既定で Windows Server 2003 にインストールされますか?
いいえ。現在、MSDE は UDDI をサポートするよう構成される Windows Server 2003にのみインストールされます。
UDDI とは何ですか?
Universal Description, Discovery, and Integration (英語情報) (UDDI) は XML ベースのレジストリで、世界中のビジネスがインターネットにリストされます。この最終的な目標は、企業が Web でお互いを検索し、そのコンピュータを電子商取引で相互運用可能にすることにより、オンラインでの取引を合理化することです。
Windows Server 2003 以外のサポートされているプラットフォーム用のこの累積的な更新プログラムは Microsoft Update で利用可能ですか?
いいえ。Microsoft SQL Server 2000 Desktop Engine (Windows) は Windows Server 2003 以外の Microsoft Windows のバージョンには同梱されていません。このため、この更新は UDDI をサポートするよう構成されている Windows Server 2003 のみに対して、 Microsoft Update を利用することが可能です。
MSDE または SQL Server 2000 がコンピュータにインストールされているかどうかはどのように確認するのですか?
[スタート]、[検索] を順にクリックし、ローカル システムで "sqlservr.exe" ファイルを検索します。このファイルがコンピュータに存在する場合、MSDE または SQL Server がインストールされています。
SQL Server 2000 用の更新プログラムは SP3a のみにインストールできるとのことですが、SP2 またはそれ以前のバージョンを使用している場合、どうなりますか?
SQL Server Service Pack は、累積的な更新プログラムであるため、SP3a には以前にリリースされた Service Pack 1 (SP1)、Service Pack 2 (SP2) および Service Pack 3 (SP3) のすべての修正が含まれています。SP3a は修正を適用していない SQL Server 2000 または SP1、SP2、または SP3 を適用済みの SQL Server 2000 に適用することができます。この更新プログラムの適用は、以前の Service Pack のバージョンでは現在サポートされていません。サポート ライフサイクルに関する情報は以下のサイトをご覧ください。http://support.microsoft.com/default.aspx?pr=lifecycle
使用しているコンピュータにSQL Server Service Pack 3 をインストールしています。これは SP3a にアップグレードする必要があるということですか?
SP3 をインストール済みの場合、SP3a をインストールする必要はありません。SP3a は、SP3 を適用していない SQL Server ユーザーのみのための Service Pack です。SP3a に関する詳細は、以下のサイトをご覧ください。
http://www.microsoft.com/japan/sql/prodinfo/previousversions/downloads/2000/sp3.mspx
この更新プログラムにはほかの修正が含まれていますか?
はい、この更新プログラムには SA アカウント パスワードの設定の動作変更が含まれています。この更新プログラムの適用後、SA アカウント パスワードを故意に「ブランク」に設定しようとした場合、セキュリティ警告の画面が表示されます。また、この更新プログラムの適用前に、名前付きパイプのプロトコルが無効に設定されている場合、以下の3 点の変更が行われます。
- Console.exe は SQL Server を実行しているサーバーに接続することができません。
- テープ マウントを必要とする SQL Server エージェント ジョブがすべて異常終了します。
- パイプへのバックアップは、パイプへの接続試行の前に異常終了します。
これらの変更に関する詳細は、818806 をご覧ください。
名前付きパイプのハイジャック
どのようなことが起こる可能性がありますか?
これは特権の昇格の脆弱性です。これにより、攻撃者は接続を試行しているユーザーと同じレベルの権限での名前付きパイプの制御を取得する可能性があります。リモートで接続しようとしているユーザーが攻撃者よりも高い権限を持っている場合、名前付きパイプが侵害され、これらの権限が攻撃者により取得される可能性があります。
攻撃者がこの脆弱性を悪用するには、名前付きパイプへの接続が試行されている際に、ローカルで SQL Server を実行しているサーバーにログオンしていることが必要条件となります。
何が原因で起こりますか?
クライアントが名前付きパイプを使用し、認証されたログオンを確立する時、SQL Server が使用するチェック方法に問題が存在するため、この脆弱性が起こります。攻撃者はこの問題を悪用することにより、名前付きパイプをハイジャック (制御を獲得) し、認証されたユーザーと同じレベルのアクセス権限を取得する可能性があります。
名前付きパイプとは何ですか?
パイプ (英語情報) とは2 つまたはそれ以上のプロセスが共有するメモリの領域で、これにより、プロセスが互いに通信できます。プロセス A がプロセス B と通信したい場合、プロセス A は共有メモリにデータを入力し、セマフォ フラグを設定し、プロセス B にそれを読むように伝えます。
パイプには次の 2 種類があります。
- 匿名パイプ。これにより、親プロセスから子プロセスへの一方向の通信が可能になります。これらのプロセスは同一コンピュータに存在します。
- 名前付きパイプ。これにより、複数のプロセス間での双方向の通信が可能になります。プロセスは別のコンピュータに存在する場合もあります。
SQL Server が名前付きパイプを検証する方法の何が問題になっていますか?
SQL Server は起動時に名前付きパイプを作成し、リッスンします。すべてのユーザーはこのパイプに接続することができ、サーバーは実際にログオンできる接続試行とできないものを決定します。
この脆弱性により、攻撃者は何ができますか?
攻撃者がこの脆弱性を悪用した場合、パイプで接続している認証されたユーザーと同じレベルの権限で情報やデータにアクセスできる可能性があります。ユーザーが管理者権限を持っている場合、攻撃者もデータベースで管理者権限を取得します。
攻撃者はどのようにしてこの脆弱性を悪用する可能性がありますか?
SQL Server を実行しているサーバーにログオンした攻撃者 (低い権限を持つユーザー) は SQL Serverを実行しているサーバーが利用しているものと同じ名前付きパイプを作成することにより、この脆弱性を悪用する可能性があります。
次にクライアントが SQL Server を実行しているサーバーにその名前付きパイプを介し接続し、Windows 認証を使用すると、攻撃者は名前付きパイプを「ハイジャック」し、接続したユーザーと同じレベルの権限を取得する可能性があります。
この種の攻撃が試行される場合、攻撃者には何らかの制限がありますか?
はい、あります。この問題が悪用されるには、SQL Server を実行しているサーバーに対話的にログオンできることが、攻撃者にとって必要条件となります。
更新プログラムは何を修正しますか?
この累積的な更新プログラムは、名前付きパイプの作成を SQL Server プロセスのみに制限することにより、この脆弱性を解決します。
名前付きパイプのサービス拒否 :
どのようなことが起こる可能性がありますか?
これはサービス拒否の脆弱性です。これにより、SQL Server が応答しない状態 (ハング) になる可能性があります。
この脆弱性が悪用されるには、攻撃者がドメインで認証されることは必要条件とはなりませんが、ローカル イントラネットへのアクセスが必要条件となります。
この脆弱性は、サーバーでの権限を奪う、またはサーバーの情報へのアクセスを取得する手段として悪意のある攻撃者により悪用されることはありません。コンピュータを再起動すると、通常の機能が回復します。
何が原因で起こりますか?
SQL Server が特定の名前付きパイプの操作からリターン コードを解釈する方法に問題が存在するため、この脆弱性が起こります。予期される以上のデータが受信されると、SQL は有効なリターン コードを無効とする間違った解釈をします。この状況が起こると、サーバーは応答を停止します。
この脆弱性により、攻撃者は何ができますか?
この脆弱性により、攻撃者は SQL Server を実行しているサーバーの応答を停止させることにより、そのサーバーの通常の操作を妨害する可能性があります。この動作は一時的なものであり、サーバーを再起動すると、通常の操作が回復します。
どのようにして攻撃者はこの脆弱性を悪用する可能性がありますか?
攻撃者がローカル イントラネットへアクセス権がある場合、非常に大きなパケットを作成し、それを SQL Server がリッスンしている名前付きパイプに送ることにより、この脆弱性を悪用する可能性があります。これにより、サーバーの応答を停止させる可能性があります。機能を回復するためには、そのサーバーを再起動する必要があります。
この脆弱性が悪用されるには、攻撃者にとってなぜローカルイントラネットへのアクセスが必要条件となるのですか?
攻撃者にとって、SQL Server を実行しているサーバーのドメインにより信頼されているドメインへのアクセスが必要条件となります。次に攻撃者は特定の SQL Server に対する名前付きパイプを開き、それにより接続を作成し、その確立された接続で不正なパケットを送ることが必要条件となります。
この累積的な更新プログラムは何を修正しますか?
この累積的な更新プログラムは SQL Server を実行しているサーバーが読み取るデータの量をバッファのサイズに制限します。
SQL Server のバッファオーバーラン :
どのようなことが起こる可能性がありますか?
これはバッファ オーバーランの脆弱性です。この脆弱性により、攻撃者はサーバーを異常終了させる、または攻撃者が選択したコードを SQL Server サービス アカウントと同じ権限で実行する可能性があります。サービス アカウント権限で実行されているコードにより、攻撃者はデータベースおよびそれに含まれるデータの完全な制御を取得できる可能性があります。
攻撃者がサーバーに対話的にログオンするための有効な資格情報を持っていない限り、この脆弱性が悪用されることはありません。
何が原因で起こりますか?
SQL Server がリッスンしている LPC ポートへのリクエストを検証する方法に問題が存在するため、この脆弱性が起こります。
LPC はローカル コンピュータでのみ使用されるため、この脆弱性はリモートで悪用される可能性は低くなります。しかし、攻撃者はこの脆弱性を対話的にログオンできるサーバーで悪用する可能性があります。通常、ワークステーションおよびターミナル サーバーが最も危険にさらされる可能性があります。この理由は通常のセキュリティ上の対応策が講じられている場合、通常のユーザーは重要なサーバーへの対話的にログオンは許可されていません。
LCP とは何ですか?
ローカル プロシージャ コール (LPC) とは Windows NT 4.0、Windows 2000 および Windows Server 2003 により提供されるメッセージの受け渡しサービスで、これにより、スレッドとプロセスが互いに通信することができます。クライアント プロセスがサーバー プロセスからサービスをリクエストする必要がある場合、常に 2 つのプロセスが互いに通信するための方法が必要となります。つまり、クライアントがサーバーにリクエストを行う方法、サーバーがクライアントに応答を送る方法、サーバーおよびクライアントが相互の状態を確認する方法です。クライアント プロセスおよびサーバー プロセスが別のコンピュータにある場合、RPC (リモート プロシージャ コール) が使用されます。これらのプロセスが同じコンピュータにある場合、LPC が使用されます。
LPC を使用する利点は、その速度です。プロセスが同じコンピュータにあるため、一定の効率が得られ、通信速度が増します。たとえば、LPC では 2 つのプロセスが、互いにメッセージを渡すのではなく、共有メモリ セグメントを介し通信することができます。1 つのプロセスがメッセージを共有セグメントに置き、そのほかのプロセスにシグナルを送ります。次にそのほかのプロセスは共有セグメントからメッセージを読み取ります。
LPC ポートとは何ですか?
すべての LPC は LPC ポートと呼ばれる通信チャネルの集まりを持ちます。各ポートはある種類の通信を行います。たとえば、LPC は常に 1 つのクライアントがサーバーにメッセージを送るために使用されるポート、サーバーが各クライアントにメッセージを送るために使用されるポート、また、プロセス内のスレッドにそれらのリクエストを調整させるポートを持ちます。
SQL Server が LPC リクエストを検証する方法の何が問題になっていますか?
SQL Server はリッスンしている LPC ポートに行われる特定の種類のリクエストを適切に検証しません。このため、不正なパケットを LPC ポートに送り、バッファ オーバーランを起こすことができる可能性があります。
この脆弱性により、攻撃者は何ができますか?
攻撃者はこの脆弱性を悪用し、SQL サービス アカウントの権限で、サーバー上でコードを実行する可能性があります。
サービス アカウントの権限で実行されるコードにより、攻撃者はデータベースおよびそれに含まれるデータの完全な制御を取得する可能性があります。
攻撃者はどのようにこの脆弱性を悪用する可能性がありますか?
攻撃者が SQL Server を実行しているサーバーに対話的にログオンする権限を持つ場合、特別に大きなパケットを作成し、それをコンピュータがリッスンしているポートに送ることにより、バッファ オーバーランが起こる可能性があります。
この累積的な更新プログラムは何を修正しますか?
この累積的な更新プログラムは SQL Server が読み取るデータの量をバッファのサイズに制限します。
この累積的な更新プログラムは、Microsoft Application Center 2000 に適用することができますか?
この累積的な更新プログラムは、Microsoft Application Center 2000 Service Pack 2 が適用された環境にのみ適用することが可能です。 Microsoft Application Center 2000 (サービスパック未適用) および Microsoft Application Center 2000 Service Pack 1 をご利用のお客様は、Microsoft Application Center 2000 Service Pack 2 を適用する必要があります。
詳細については、以下のサポート技術情報をご覧ください。
830791 Application Center 2000 に MSDE セキュリティ更新プログラムを適用する方法
更新プログラム
この問題に対する日本語版更新プログラムは、次のサイトからダウンロードできます。
注意: この更新プログラムの適用にあたり、いくつか注意が必要です。更新プログラムの適用前に、必ず「警告」の欄をご覧ください。
更新プログラムに関する追加情報
対象プラットフォーム :
この更新プログラムは以下のバージョンを実行しているコンピュータにインストールすることができます。
- SQL Server 7.0 用の更新プログラムは SQL Server 7.0 Service Pack 4 を実行しているシステムにインストールすることができます。さらに、SQL Server 7.0 用の更新プログラムは MSDE 1.0 Service Pack 4 を実行しているシステムにインストールすることができます。
- SQL Server 2000 用の更新プログラムは SQL Server 2000 Service Pack 3 または Service Pack 3a を実行しているシステムにインストールすることができます。さらに、SQL Server 2000 用の更新プログラムは MSDE 2000 Service Pack 3 を実行しているシステムにインストールすることができます。
- UDDI をサポートするよう構成されている Windows Server 2003 ユーザーは、Microsoft Update から SQL Server Desktop Engine の更新プログラムをインストールする必要があります。
この修正を含む予定のサービスパック :
この問題に対する更新プログラムはSQL Server 2000 Service Pack 4 および Windows Server 2003 Service Pack 1 に含まれる予定です。
再起動の必要性 :
更新プログラムのインストール時に、この更新プログラムによって更新されたファイルが、使用されている場合、コンピュータを再起動する必要がある場合があります。ほとんどの場合、再起動は必要ありません。
更新プログラムのアンインストール :
可。この手順については、次のマイクロソフト サポート技術情報をご覧ください。330391
更新プログラムに含まれる過去の修正 :
この累積的な更新プログラムはマイクロソフト セキュリティ 情報 MS02-061 で提供された累積的な更新プログラムの SQL 2000 Service Pack 2 および SQL Server 7.0 Service Pack 4 のバージョンを含みます。MS02-061 の修正は既に SQL 2000 Service Pack 3 および Service Pack 3a に含まれています。
更新プログラムが正しくインストールされたかどうか確認する方法 :
- SQL Server 7.0:
この更新プログラムが正しくインストールされたことを確認するためには、以下のファイル欄に挙げられているファイルの日付/タイム スタンプを参照し、各ファイルを確認して下さい。日付 時刻 バージョン サイズ ファイル名
-----------------------------------------------------------------
2002/10/04 16:59 2000.34.04.0 28,944 Dbmssocn.dll
2002/09/06 16:55 2000.33.06.0 53,520 Distrib.EXE
2002/09/06 16:55 2000.33.06.0 98,576 Logread.exe
2003/05/05 11:34 54,904 Opends60.DBG
2003/05/05 15:07 2000.41.02.0 155,920 Opends60.dll
2003/05/05 11:34 132,096 Opends60.pdb
2002/09/06 16:56 2000.33.06.0 250,128 Rdistcom.DLL
2002/09/06 16:55 2000.33.06.0 82,192 Replmerg.EXE
2002/09/06 21:47 2000.33.06.0 78,096 Replres.DLL
2002/09/17 15:52 7,941 Securityhotfix.sql
2002/09/06 16:56 2000.33.06.0 160,016 Snapshot.EXE
2003/05/29 21:22 60,380 Sp4_Serv_Uni.sql
2003/01/22 22:03 2000.37.13.0 344,064 Sqlagent.exe
2002/09/06 21:47 2000.33.06.0 45,056 Sqlcmdss.DLL
2003/05/15 17:18 2000.41.14.0 2,629,632 Sqldmo.dll
2003/05/16 6:30 2000.41.14.0 81,920 Sqlmap70.DLL
2003/05/29 16:11 4,370,404 Sqlservr.dbg
2003/05/29 19:47 2000.41.28.0 5,062,928 Sqlservr.exe
2003/05/29 16:11 3,589,120 Sqlservr.pdb
2002/10/04 16:59 2000.34.04.0 45,328 Ssmsso70.dll
2003/05/15 17:18 2000.41.14.0 24,848 Ssnmpn70.dll
2002/09/26 13:30 28,408 Ums.DBG
2002/09/26 13:27 2000.33.25.0 57,616 Ums.dll
2002/09/26 13:29 99,328 Ums.pdb
2003/05/16 06:32 2000.41.14.0 151,552 Xpweb70.DLL
注 : securityhotfix.sql は、インストールの際に実行されますが、システムへのコピーは行われません。
- SQL Server 2000 32-bit Edition:
この更新プログラムが正しくインストールされたことを確認するためには、以下のファイル欄に挙げられているファイルの日付/タイム スタンプを参照し、各ファイルを確認して下さい。日付 時刻 バージョン サイズ ファイル名
-----------------------------------------------------------------
2003/05/31 11:45 2000.80.818.0 78,400 Console.exe
2003/06/24 18:01 2000.80.818.0 33,340 Dbmslpcn.dll
2003/04/24 19:12 786,432 Distmdl.ldf
2003/04/24 19:12 2,359,296 Distmdl.mdf
2003/01/29 18:55 180 Drop_Repl_Hotfix.sql
2003/04/07 12:15 2000.80.801.0 1,557,052 Dtsui.dll
2003/05/02 18:56 1,581 Inst_Repl_Hotfix.sql
2003/04/23 19:51 747,927 Instdist.sql
2003/02/07 23:40 2000.80.765.0 90,692 Msgprox.dll
2003/03/31 19:07 1,873 Odsole.sql
2003/04/04 18:46 2000.80.800.0 62,024 Odsole70.dll
2003/04/02 18:58 2000.80.796.0 57,856 Osql.exe
2003/04/02 16:15 2000.80.797.0 279,104 Pfutil80.dll
2003/04/04 14:27 1,083,467 Replmerg.sql
2003/04/04 14:53 2000.80.798.0 221,768 Replprov.dll
2003/02/07 23:40 2000.80.765.0 307,784 Replrec.dll
2003/05/04 17:05 1,085,874 Replsys.sql
2003/05/31 18:01 2000.80.818.0 492,096 Semobj.dll
2003/05/31 18:37 2000.80.818.0 172,032 Semobj.rll
2003/05/28 17:29 115,522 Sp3_Serv_Uni.sql
2003/05/31 18:01 2000.80.818.0 4,215,360 Sqldmo.dll
2003/04/07 10:44 25,172 Sqldumper.exe
2003/03/19 18:29 2000.80.789.0 32,768 Sqlevn70.rll
2003/04/23 23:15 2000.80.811.0 176,640 Sqlmap70.dll
2003/02/07 23:40 2000.80.765.0 57,920 Sqlrepss.dll
2003/05/31 18:35 2000.80.818.0 7,544,916 Sqlservr.exe
2003/05/31 18:02 12,739,584 Sqlservr.pdb
2003/02/07 23:40 2000.80.765.0 45,644 Sqlvdi.dll
2003/06/24 18:01 2000.80.818.0 33,340 Ssmslpcn.dll
2003/05/31 18:01 2000.80.818.0 82,492 Ssnetlib.dll
2003/05/31 18:01 2000.80.818.0 25,148 Ssnmpn70.dll
2003/05/31 18:01 2000.80.818.0 158,240 Svrnetcn.dll
2003/05/31 11:59 2000.80.818.0 76,416 Svrnetcn.exe
2003/04/30 16:52 2000.80.816.0 45,132 Ums.dll
2003/04/30 16:52 132,096 Ums.pdb
2003/02/27 18:49 2000.80.778.0 98,816 Xpweb70.dll
注 : drop_repl_hotfix.sql、inst_repl_hotfix.sql、および odsole.sql は、インストールの際に実行されますが、システムへのコピーは行われません。
- SQL Server 2000 64-bit Edition :
この更新プログラムが正しくインストールされたことを確認するためには、以下のファイル欄に挙げられているファイルの日付/タイム スタンプを参照し、各ファイルを確認して下さい。日付 時刻 バージョン サイズ ファイル名
-----------------------------------------------------------------
2003/06/24 18:13 2000.80.818.0 56,832 Dbmslpcn.dll
2003/02/07 18:12 159,744 Dbmslpcn.pdb
2003/02/07 22:44 786,432 Distmdl.ldf
2003/02/07 22:44 2,359,296 Distmdl.mdf
2003/01/29 18:55 180 Drop_Repl_Hotfix.sql
2003/05/02 18:56 1,581 Inst_Repl_Hotfix.sql
2003/01/29 22:18 746,470 Instdist.sql
2003/03/31 14:27 2000.80.765.0 185,856 Msgprox.dll
2003/07/16 11:55 2000.80.818.0 150,528 Odsole70.dll
2003/07/16 12:27 2000.80.818.0 148,992 Osql.EXE
2003/02/07 20:53 1,065,895 Replmerg.sql
2003/03/31 14:27 2000.80.765.0 533,504 Replprov.dll
2003/03/31 14:27 2000.80.765.0 767,488 Replrec.dll
2003/05/04 17:05 1,085,874 Replsys.sql
2003/05/28 17:29 115,522 Sp3_Serv_Uni.sql
2003/06/01 15:18 2000.80.818.0 13,845,504 Sqldmo.dll
2003/07/16 12:13 39,936 Sqldumper.exe
2003/04/06 00:12 2000.80.789.0 21,504 Sqlevn70.rll
2003/07/15 21:11 2000.80.778.0 23,040 Sqlmap70.dll
2003/03/31 14:27 2000.80.765.0 152,064 Sqlrepss.dll
2003/06/02 13:40 2000.80.818.0 24,750,592 Sqlservr.exe
2003/06/02 13:26 20,859,904 Sqlservr.pdb
2003/03/31 14:27 2000.80.765.0 120,320 Sqlvdi.dll
2003/06/24 18:13 2000.80.818.0 53,760 Ssmslpcn.dll
2003/06/24 18:12 159,744 Ssmslpcn.pdb
2003/06/01 14:51 2000.80.818.0 254,976 Ssnetlib.dll
2003/06/01 14:51 339,968 Ssnetlib.pdb
2003/06/01 17:41 2000.80.818.0 20,992 Ssnmpn70.dll
2003/06/01 17:40 135,168 Ssnmpn70.pdb
2003/06/01 14:48 2000.80.818.0 430,080 Svrnetcn.dll
2003/06/01 14:48 2000.80.818.0 185,856 Svrnetcn.exe
2003/06/01 14:46 495,616 Svrnetcn.pdb
2003/07/15 21:10 2000.80.778.0 186,368 Xpweb70.dll
注 : drop_repl_hotfix.sql および inst_repl_hotfix.sqlは、インストールの際に実行されますが、システムへのコピーは行われません。
警告 :
必ずお読みください。
- このセキュリティ更新プログラムに含まれている修正によって、Windows NT Server 4.0 または Windows NT Server 4.0, Terminal Services Edition 上で実行されている SQL Server 7.0 を実行しているコンピュータへの非管理クライアント接続が異常終了する場合があります。マイクロソフト サポート技術情報 823492 にこの問題の詳細説明およびこの特定の問題に対する更新プログラムが提供されています。
- Microsoft Windows NT Server 4.0 Service Pack 6a を実行している場合、この累積的な更新プログラムを適用する前に、マイクロソフト サポート技術情報 258437 で説明されている更新プログラムを適用する必要があります。258437 の更新プログラムは現在ダウンロード可能です。詳細はサポート 技術情報 258437 をご覧ください。
- この累積的な更新プログラムはマイクロソフト セキュリティ情報 MS02-035 で提供された Killpwd ツールの機能は含みません。
- この累積的な更新プログラムは SQL Server 2000 の MDAC または OLAP 用に以前にリリースされた更新プログラムは含みません。このセキュリティ情報作成時点では、これらの更新プログラムは次のセキュリティ情報で説明された更新プログラムを含みます。
他のセキュリティ更新プログラムの入手先 :
他のセキュリティ問題を解決する更新プログラムは以下のサイトから入手できます。
- セキュリティ更新プログラムはマイクロソフト ダウンロード センターからダウンロードすることができます。「security_patch」 のキーワード探索によって容易に見つけることができます。
- コンシューマ プラットフォーム用の更新プログラムは、Microsoft Update Web サイトからダウンロードできます。
- 本セキュリティ情報及び公開された更新プログラムは、TechNet CD サブスクリプションでも入手可能です。
更新プログラムについてのご質問は、マイクロソフト プロダクト サポート までご連絡ください。マイクロソフトでは、ご質問の内容が弊社製品の不具合が原因の場合、サポート料金はいただきません。それ以外の場合には、サポート料金を請求させていただきますのでご注意ください。
マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。
その他の情報
詳細情報 :
- US マイクロソフトセキュリティ情報(MS03-031)
http://www.microsoft.com/technet/security/bulletin/ms03-031.mspx - サポート技術情報 (KB) 文書番号 : 815495
[MS03-031] SQL Server 用の累積的なセキュリティ更新プログラム
謝辞 :
この問題を連絡し、顧客の保護に協力して下さった @stake の Andreas Junestam 氏に対し、マイクロソフトは深い謝意を表します。
更新履歴 :
- 2003/7/24: このセキュリティ情報ページを公開しました。
- 2003/7/25: この問題に対するマイクロソフト サポート技術情報 815495 日本語版を公開しました。「更新プログラムが正しくインストールされたかどうか確認する方法」 を更新しました。
本セキュリティ情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。