Skip to main content
サインイン
ホーム2008 R22008200520007.0ライブラリフォーラム
ラーニング
ダウンロード
サポート
SQL Server 2005 製品情報
SQL Server 2005 機能一覧
SQL Server 2005 エディション
SQL Server 2005 Tips and Tips
SQL Server 2005 SQL Server を選ぶ理由
SQL Server 2005 セキュリティ
SQL Server 2005 プライバシー
SQL Server 2005 購入情報
SQL Server 2005 技術情報
SQL Server 2005 ソリューション
評価してください: 
SQL Server > 2005 > ダウンロード > SQL Server 2000 Whitepaper > 障害および修正モジュール情報

障害および修正モジュール情報

最終更新日: 2007 年 7 月 23 日

このページの内容は公開・更新された当時のものです。

ここでは、SQL Server に関する障害および修正モジュールについての最新情報を掲載しています。アップグレード情報やサポート情報など、SQL Server 環境を構築する上で、欠かせない重要事項を随時更新しています。

#
#
#
#
#


トピック

[障害情報]
[セキュリティ情報]
[SQL 7.0 SP3 に対する QFE]

[障害情報]

ページのトップへ

[セキュリティ情報]

  • MS04-003: MDAC 機能のバッファ オーバーランにより、コードが実行される (832483) MS04-003: MDAC 機能のバッファ オーバーランにより、コードが実行される (832483)
    ネットワーク上のクライアント コンピュータが SQL Server を実行しているコンピュータおよびネットワーク上に存在するコンピュータのリストを参照しようとすると、ネットワーク上のすべてのデバイスにブロードキャスト リクエストが送信されます。攻撃者がある特定の MDAC コンポーネントの脆弱性を悪用し、このリクエストに特別な細工をしたパケットで応答すると、それによりバッファ オーバーフローが発生する可能性があります。

    対象となるユーザー:
    Microsoft® Windows® をご使用のお客様

    影響を受けるソフトウェア:
    • Microsoft Data Access Components 2.5 (Windows 2000 に同梱)
    • Microsoft Data Access Components 2.6 (SQL Server 2000 に同梱)
    • Microsoft Data Access Components 2.7 (Windows XP に同梱)
    • Microsoft Data Access Components 2.8 (Windows Server 2003 に同梱)
    • Microsoft Data Access Components 2.8 (Windows Server 2003 64 Bit Edition に同梱)
  • MS03-033: MDAC 機能の未チェックのバッファにより、システムが侵害される (823718)
    この問題は、対象となる製品に含まれる未チェックのバッファにより、不正なプログラムが実行される可能性がある問題です。
    悪意のあるユーザーによりお客様のコンピュータ上でデータの作成、変更、削除、コンピュータの構成の変更、ハード ディスクの再フォーマット、任意のプログラムの実行などが行われてしまう可能性があります。

    対象となるユーザー:
    Microsoft® Windows® をご使用のお客様

    影響を受けるソフトウェア:
    • Microsoft Data Access Components 2.5
    • Microsoft Data Access Components 2.6
    • Microsoft Data Access Components 2.7 (Windows XP に同梱)
    • Microsoft Data Access Components 2.7
    影響を受けないソフトウェア:
    • Microsoft Data Access Components 2.8
      * Microsoft Data Access Components (MDAC) は Windows XP、Windows 2000、Windows Millennium Edition および Windows Server 2003 の一部として既定でインストールされます。 MDAC のバージョンの確認方法については次の技術情報をご覧ください。
    修正プログラム:
    この問題に対する日本語版修正プログラムは、次のサイトからダウンロードできます また、修正プログラムは Windows Update からインストールすることもできます。
    Windows Update の利用方法については以下のサイトを参照してください。 この問題に関する詳細な情報はこちらをご覧ください。
  • MS03-031: Microsoft SQL Server 用の累積的な修正プログラム (815495)
    これは累積的な修正プログラムで、SQL Server 7.0、SQL Server 2000 および Microsoft Data Engine (MSDE) 1.0、Microsoft Desktop Engine (MSDE) 2000 用に以前にリリースされたすべての修正プログラムを含みます。さらに、新たに確認された 3 つの脆弱性を排除しています。

    対象となるユーザー:
    SQL Server 7.0、SQL Server 2000、Microsoft Data Engine (MSDE) 1.0、SQL Server 2000 Desktop Engine (MSDE 2000) および SQL Server 2000 Desktop Engine (Windows) を使用しているシステム管理者

    影響を受けるソフトウェア:
    • Microsoft SQL Server 7.0
    • Microsoft Data Engine (MSDE) 1.0
    • Microsoft SQL Server 2000
    • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
    • Microsoft SQL Server 2000 Desktop Engine (Windows)
    修正プログラム:
    この問題に対する修正プログラムは、次のサイトからダウンロードできます。日本語環境でご利用いただくことができます。
  • MS02-065: Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414)
    データ スタブの未チェックのバッファにより発生するセキュリティ上の脆弱性により、MDAC 2.7 (Windows XP に同梱されたバージョン) より前のバージョンに影響が及びます。攻撃者は不正な HTTP リクエストをデータ スタブに送信し、任意のデータでヒープのオーバーランを発生させる可能性があります。通常、ヒープのオーバーランは、より一般的に発生するスタックのオーバーランよりも悪用が困難ですが、マイクロソフトは、この脆弱性が悪用され、ユーザーのシステム上で攻撃者の任意のコードが実行される可能性があることを確認しました。

    対象となる製品:
    • Microsoft Data Access Components (MDAC) 2.1
    • Microsoft Data Access Components (MDAC) 2.5
    • Microsoft Data Access Components (MDAC) 2.6
    • Microsoft Internet Explorer 5.01
    • Microsoft Internet Explorer 5.5
    • Microsoft Internet Explorer 6.0
    注: Windows XP では Internet Explorer 6.0 が使用されていますが、この脆弱性は、Windows XP には影響を及ぼしません。Windows XP のユーザーはこの脆弱性に関して対策を講じる必要はありません。
  • MS02-061: SQL Server Web タスクで権限が昇格する (Q316333)
    この問題は、下記対象となる製品に含まれる Web タスクに関する Transact-SQL ストアド プロシージャが悪用されることにより、本来権限の与えられていないユーザーであるにも関わらず、Web タスクを実行、削除、挿入、変更が行われる可能性があるものです。さらに、下記対象となる製品、および Microsoft Data Engine (MSDE) 1.0、SQL Server 2000 Desktop Engine (MSDE 2000) 用に以前リリースされたすべての修正プログラムを含みます。

    対象となる製品:
    • Microsoft SQL Server 2000 のすべてのエディション
    • SQL Server 2000 Desktop Engine (MSDE 2000)
    • Microsoft SQL Server 7.0 のすべてのエディション
    • Microsoft Data Engine (MSDE) 1.0
    修正プログラム
    • Microsoft SQL Server 2000、SQL Server 2000 Desktop Engine (MSDE 2000) (英語情報)
      ダウンロード提供は終了しました。
    • Microsoft SQL Server 7.0、Microsoft Data Engine (MSDE) 1.0
      リンク先で、次のファイルを選択してダウンロードしてください。
      Japanese: Download 7.00.1078_jpn.exe now
  • MS02-056: SQL Server 用の累積的な修正プログラム (Q316333)
    これは累積的な修正プログラムで、SQL Server 2000 用に、過去にリリースされたすべての修正プログラムを含みます。 さらに、ユーザー認証に関連する脆弱性、Database Console Commands (DBCC) に関連する脆弱性、スケジュールされたジョブに関連する脆弱性の 3 つを排除しています。

    対象となる製品:
    • Microsoft SQL Server 2000
    • Microsoft Desktop Engine (MSDE) 2000
    • Microsoft SQL Server 7.0
    • Microsoft Desktop Engine (MSDE) 1.0
    修正プログラム
  • MS02-043: SQL Server 用の累積的な修正プログラム (Q316333)
    この修正プログラムは、以下の製品に影響を及ぼすセキュリティ上の問題を排除する累積的な修正プログラムです。

    対象となる製品:
    • Microsoft SQL Server 2000
    • Microsoft Desktop Engine (MSDE) 2000
    • Microsoft SQL Server 7.0
    • Microsoft Desktop Engine (MSDE) 1.0
    修正プログラム
    この修正プログラムをインストールすることにより、拡張ストアドプロシージャの脆弱性を悪用して、悪意のあるユーザーにより、サービスアカウントと同等の権限を取得される可能性がある問題を防ぐことができます。
  • MS02-040: MDAC 機能の未チェックのバッファにより、SQL Server が侵害される (Q326573)
    Microsoft Data Access Components (MDAC) はデータベースへのアクセスおよび使用について、多くのサポート技術を提供します。これらの機能の 1 つに、T-SQL OpenRowSet コマンドの基本的なサポートがあります。OpenRowSet コマンドの基礎となっている MDAC 機能に未チェックのバッファが含まれるため、セキュリティ上の脆弱性が発生します。

    対象となる製品:
    • Microsoft Data Access Components 2.5
    • Microsoft Data Access Components 2.6
    • Microsoft Data Access Components 2.7
    修正プログラム
  • MS02-039: SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875)
    この問題は、下記対象となる製品に含まれる未チェックのバッファにより、 不正なプログラムの実行が行われる可能性および、サービスの提供が 妨害される可能性があります。これらが悪用される事で、悪意のあるユーザー によりお客様のコンピュータ上で任意のプログラムの実行および、パフォーマンスを著しく低下させられる可能性があります。

    対象となる製品:
    • Microsoft SQL Server 2000
    • Microsoft SQL Server Desktop Engine (MSDE) 2000
    修正プログラム:
  • MS02-038: SQL Server 2000 Service Pack 2 用の累積的な修正プログラム (Q316333)
    この問題は、下記対象となる製品に含まれる未チェックのバッファにより、不正なプログラムの実行および権限の昇格が行われる可能性があります。これらが悪用される事で、悪意のあるユーザーによりお客様の コンピュータ上で任意のプログラムを高い権限の下で実行される 可能性があります。

    対象となる製品:
    • Microsoft SQL Server 2000
    • Microsoft SQL Server Desktop Engine (MSDE) 2000
    修正プログラム:
  • SQL Server 用の累積的な修正プログラム (Q316333) (MS02-034)
    これは累積的な修正プログラムで、SQL Server 2000 用に、過去にリリースされたすべての修正プログラムを含みます。
    さらに、SQL Server 2000 および MSDE 2000 に影響を及ぼす次の新しく確認された 3 つの脆弱性を排除しています。
    (SQL Server または MSDE の以前のバージョンはこれらの脆弱性の影響を受けません。)
  • SQL Server のインストール プロセスで、パスワードがシステムに残る (Q263968) (MS02-035)
    SQL Server 7.0 (MSDE 1.0 を含む)、SQL Server 2000、SQL Server 7.0 または SQL Server 2000 用のサービス パックをインストールした場合、インストール プロセスが使用する情報を収集し、setup.iss と呼ばれるセットアップ ファイルに保存します。パスワードはこの setup.iss ファイルに保存されます。SQL Server 7.0 Service Pack 4 以前のバージョンでは、パスワードはクリア テキストで保存されます。SQL Server 7.0 Service Pack 4 および SQL Server 2000 Service Packs 1 および SQL Server 2000 Service Packs 2 では、パスワードは、暗号化され、保存されます。また、インストール プロセスでは、インストールの結果を示すログ ファイルが作成されます。そのログ ファイルには、setup.iss ファイルに保存されていたすべてのパスワードが含まれる可能性があります。

    修正プログラム:
    この問題に対する日本語版修正プログラムは、次のサイトからダウンロードできます。
  • SQLXML の未チェックのバッファによりコードが実行される (Q321911)(MS02-030)
    Microsoft SQLXML にユーザーの入力をチェックする方法に問題があるため、悪意のあるユーザーに任意のプログラムまたはスクリプトを実行される可能性がある問題です。

    修正プログラム:
    この問題に対する日本語版修正プログラムは、次のサイトからダウンロードできます。
  • SQL Server を標的とした SQLSPIDA に関する情報
    SQLSPIDA と呼ばれる Microsoft SQL Server を対象としたワームが確認されています。弊社では、このワームによる影響からお客様の環境を守るため、情報を公開いたします。(別名に BAT_SQLSPIDA.B. Digispid.B.Worm, JS_SQLSpida.B, Hacktool.IPStealer, JS.Spida.B, SQLSnake, SQLSpida, MS SQL Worm 等があります) 本ワームは SQL Server に対して、TCP 1433 ポートから、sa ログイン (ユーザー)、パスワード 無し (ブランク) で接続を試み感染活動を行います。 したがって、下記の場合には、このワームの影響を受けません。
    • SQL Server が使用している TCP 1433 ポートをインターネットとの接続を行っているルータもしくはファイヤウォールで遮断している場合
    • sa に対して適切なパスワードを設定している場合
    • SQL Server の認証モードとして Windows 認証 (統合セキュリティ) を利用している場合
  • 製品サポート サービスからの SQL Server に関する警告
    マイクロソフト製品サポート サービス セキュリティ チームは、以下の 2 つの理由から、SQL Server(TM) 運用管理者に予防措置を講じるよう推奨するためにこの警告を発しています。
    • 警告内容
      Microsoft Security Bulletin MS02-020 によって既にパッチが用意されている脆弱性を狙った悪用コードが登場しています。悪用コードがリリースされたからといって直ちに攻撃ツールが今後開発されるということにはなりませんが、製品サポート サービス セキュリティ チームは、今後の成り行きとともにますます注意と警戒が必要になることが確実であると考えています。
    • 取るべき措置
      以上 2 つの理由から、マイクロソフト製品サポート サービス セキュリティ チームは SQL Server 運用管理者に対して、まだ実行していない場合は Microsoft Security Bulletin MS02-020 のパッチをテストおよび展開するよう推奨しています。 このパッチは、TechNet の Microsoft Security Bulletin MS02-020 ページからダウンロードできます。
  • SQL 拡張プロシージャ機能に未チェックのバッファが含まれる (Q319507) (MS02-020)
    SQL Server 2000 および SQL Server 7.0 は拡張ストアド プロシージャを提供しています。これは C 言語などのプログラミング言語で書かれている外部ルーチンです。これらのプロシージャは、ユーザーには通常のストアド プロシージャのように見え、同じ方法で実行されます。SQL Server 2000 および SQL Server 7.0 には様々なヘルパー機能に使用される多くの拡張ストアド プロシージャがあります。

    修正プログラム:
    この問題に対する日本語版修正プログラムは、次のサイトからダウンロードできます。
  • XMLHTTP コントロールにより、ローカル ファイルにアクセスすることができる (MS02-008)
    XMLHTTP コントロールが Web サイトからのデータについてのリクエストに応答して返されるデータ ストリームをリダイレクトするために、Internet Explorer のセキュリティ ゾーン設定を適用する方法に問題が存在します。攻撃者はこの問題を利用し、ユーザーのローカル システムにあるデータ ソースを指定することができるため、この脆弱性が発生します。

    修正プログラム:
    この問題に対する日本語版修正プログラムは、次のサイトからダウンロードできます。
  • SQL Server のリモート データ ソース関数に未チェックのバッファが含まれる (MS02-007)
    SQL Server に含まれる未チェックのバッファにより、不正なプログラムが実行される可能性がある問題です。最悪の場合、悪意のあるユーザーが攻撃の対象となるシステムで、任意のプログラムを実行することが可能になります。

    修正プログラム:
    この問題に対する日本語版修正プログラムは、こちらのサイトからダウンロードできます。
  • SQL Server テキスト フォーマット機能が未チェックのバッファを含む
    SQL Server 7.0 および SQL Server 2000 には、データベースへのクエリがテキスト メッセージを生成できる多くの機能があります。それらの機能によりテキスト メッセージが生成され、ある変数の中に保存される場合があります。またそれ らの機能により、直接メッセージが表示される場合もあります。これらの機能に関係する 2 つの脆弱性が発見されました。
  • Microsoft SQL Server を狙ったワームに関する情報
    CBLAD と呼ばれる SQL Server を対象としたワームが活動範囲を広げております。本ワームは、製品の脆弱性を利用するものではなく、SQL Server の運用上の脆弱性を利用しているため、パスワードの設定を正しく行うことでワームの侵入を防ぐことができます。詳しくは、対策のページをご覧ください。
  • RPC リクエストがサービスを異常終了させる (MS01-041)
    不正な RPC リクエストを攻撃の対象となるサーバーに送信することにより、攻撃者はサービスを中断させることができます。その影響の範囲はサービスにより異なりますが、サービスが一時的にハングするなどの軽度なものから、サービスが異常終了し、システム全体を再起動する必要がある場合など重度なものも含まれます。この問題は SQL Server 2000 SP1、SQL Server 7.0 SP3 で修正されています。
  • SQL クエリ方法により、キャッシュされた管理者接続が再使用される (MS01-032)
    SQL Server へのクライアント接続が終了する際、パフォーマンス上の理由により、その接続はしばらくの間キャッシュされた状態で残ります。これにより、あるユーザーのクエリが sa (システム管理者) アカウントに属するキャッシュされた接続を再使用できるようになります。この脆弱性に関する詳細情報および修正モジュールについてはこちらをご覧下さい。なお、SQL Server 2000 用の修正プログラムは SQL Server 2000 SP1 に含まれています。
  • 「ストアドプロシージャの権限」脆弱性に対する対策 (MS00-048)
    弊社では、MicrosoftR SQL ServerR 7.0 のセキュリティの脆弱性を排除するパッチをリリースしました。この脆弱性によって、悪意のあるユーザが実行権限のないデータベース ストアド プロシージャを実行することができます。この障害は SQL Server 7.0 SP3 で修正されています。
  • 「拡張ストアド プロシージャ パラメータ解析」の脆弱性に対する対策 (MS00-092)
    マイクロソフトは MicrosoftR SQL Server と Microsoft SQL Server Desktop Engine (MSDE) の脆弱性を排除する修正プログラムをリリースしました。悪意のあるユーザーがこの脆弱性を利用することで、サーバーでコードを実行することができます。この障害は SQL Server 7.0 SP3 で修正されています。
  • 「DTS パスワード」の脆弱性に対する対策 (MS00-041)
    マイクロソフトは、Microsoft SQL Server 7.0 に含まれ出荷されている、コンポーネントの一部の脆弱性を排除する、修正プログラムをリリースしました。この障害は SQL Server 7.0 SP3 で修正されています。
  • 「SQL Server 7.0 Service Pack のパスワード」の脆弱性に対する対策 (MS00-035)
    マイクロソフトは MicrosoftR SQL Server(TM) 7.0 Service Pack のインストールルーチンにおけるセキュリティの脆弱性を排除する英語版修正プログラムをリリースしました。該当する Service Pack は Service Pack 1, Service Pack 2, Service Pack 3 です。
  • 「SQL クエリー」の脆弱性に対する対策 (MS00-014)
    マイクロソフトは、Microsoft SQL Server 7.0 および Microsoft Data Engine (MSDE) 1.0 の脆弱性を排除する修正プログラムをリリースしました。この障害は SQL Server 7.0 SP2 で修正されています。
  • 「不正な TDS パケット ヘッダ」の脆弱性に対する対策 (MS99-059)
    マイクロソフトは、Microsoft SQL Server 7.0 の脆弱性を排除する修正プログラムをリリースしました。この障害は SQL Server 7.0 SP2 で修正されています。
  • セキュリティページの SQL に関する情報の一覧

ページのトップへ

[SQL 7.0 SP3 に対する QFE]

ページのトップへ

© 2012 Microsoft