Bulletin de sécurité
Bulletin de sécurité Microsoft MS02-056 - Critique
Correctif cumulatif pour SQL Server (Q316333)
Publication : 02 octobre 2002 | Mise à jour : 31 janvier 2003
Version : 1.2
Publication initiale : 02 octobre 2002
Mise à jour : 31 janvier 2003
Résumé
Qui devez lire ce bulletin : Administrateurs système utilisant Microsoft® SQL Server™ 7.0, SQL Server 2000, Microsoft Data Engine (MSDE) 1.0 et Microsoft Desktop Engine (MSDE) 2000.
Impact de la vulnérabilité : quatre vulnérabilités, dont la plus grave pourrait permettre à un attaquant de contrôler un serveur affecté.
Évaluation de gravité maximale : Critique
Recommandation : les administrateurs système doivent appliquer le correctif aux systèmes concernés.
Remarque : Le correctif publié avec ce bulletin est efficace pour protéger SQL Server 2000 et MSDE 2000 contre le virus de ver « SQL Slammer ». Toutefois, ce correctif a été remplacé par le correctif publié avec MS02-061 qui contient des correctifs pour des vulnérabilités de sécurité supplémentaires dans ces produits. Microsoft recommande que les clients SQL 2000 et MSDE 2000 appliquent le correctif de MS02-061.
Logiciels affectés :
- Microsoft SQL Server 7.0
- Microsoft Data Engine (MSDE) 1.0
- Microsoft SQL Server 2000
- Microsoft Desktop Engine (MSDE) 2000
Informations générales
Détails techniques
Description technique :
Ce correctif de sécurité ne contient pas de correctif de l’article de la Base de connaissances Microsoft 317748 nécessaire pour garantir le fonctionnement normal de SQL Server 2000 et MSDE 2000. Si vous avez appliqué ce correctif de sécurité à une installation SQL Server 2000 ou MSDE 2000 avant d’appliquer le correctif logiciel à partir de l’article Microsoft Knowledge Patch 317748, vous devez répondre à « non » si et quand vous êtes invité à remplacer les fichiers pour vous assurer que vous ne remplacez pas les fichiers à partir du correctif de sécurité.
Il s’agit d’un correctif cumulatif qui inclut les fonctionnalités de tous les correctifs précédemment publiés pour SQL Server 7.0, SQL Server 2000 et Microsoft Data Engine (MSDE) 1.0, Microsoft Desktop Engine (MSDE) 2000. En outre, il élimine quatre vulnérabilités nouvellement découvertes.
- Dépassement de mémoire tampon dans une section de code dans SQL Server 2000 (et MSDE 2000) associée à l’authentification utilisateur. En envoyant une demande de connexion particulièrement incorrecte à un serveur affecté, un attaquant peut provoquer l’échec du serveur ou obtenir la possibilité de remplacer la mémoire sur le serveur, ce qui peut exécuter du code sur le serveur dans le contexte de sécurité du service SQL Server. Il n’est pas nécessaire que l’utilisateur s’authentifie correctement auprès du serveur ou qu’il puisse émettre des commandes directes afin d’exploiter la vulnérabilité.
- Vulnérabilité de dépassement de mémoire tampon qui se produit dans l’une des commandes de la console de base de données (DBCC) qui sont fournies dans le cadre de SQL Server 7.0 et 2000. Dans le cas le plus sérieux, l’exploitation de cette vulnérabilité permettrait à un attaquant d’exécuter du code dans le contexte du service SQL Server, ce qui permet à l’attaquant de contrôler complètement toutes les bases de données sur le serveur.
- Vulnérabilité associée aux travaux planifiés dans SQL Server 7.0 et 2000. SQL Server permet aux utilisateurs non privilégiés de créer des travaux planifiés qui seront exécutés par l’agent SQL Server. Par conception, SQL Server Agent ne doit effectuer que des étapes de travail appropriées pour les privilèges de l’utilisateur demandeur. Toutefois, lorsqu’une étape de travail demande qu’un fichier de sortie soit créé, SQL Server Agent le fait à l’aide de ses propres privilèges plutôt que des privilèges des propriétaires de travaux. Cela crée une situation dans laquelle un utilisateur non privilégié peut envoyer un travail qui créerait un fichier contenant des commandes de système d’exploitation valides dans le dossier Démarrage d’un autre utilisateur, ou simplement remplacer les fichiers système afin d’interrompre l’opération du système
Le correctif modifie également l’opération de SQL Server pour empêcher les utilisateurs non administratifs d’exécuter des requêtes ad hoc sur des sources de données OLEDB non-SQL. Bien que l’opération actuelle ne représente pas une vulnérabilité de sécurité, la nouvelle opération rend plus difficile l’utilisation incorrecte des fournisseurs de données mal codés susceptibles d’être installés sur le serveur.
Facteurs d’atténuation :
Mémoire tampon non case activée dans la fonction d’authentification SQL Server 2000 :
- Cette vulnérabilité affecte SQL Server 2000 et MSDE 2000. Ni SQL Server 7.0 ni MSDE 1.0 ne sont affectés.
- Si le port SQL Server (port 1433) a été bloqué sur le pare-feu, la vulnérabilité n’a pas pu être exploitée à partir d’Internet.
- L’exploitation de cette vulnérabilité permettrait à l’attaquant d’élever les privilèges au niveau du compte de service SQL Server. Par défaut, le service s’exécute avec les privilèges d’un utilisateur de domaine, plutôt qu’avec des privilèges système.
Mémoire tampon non case activée dans les commandes de la console de base de données :
- L’exploitation de cette vulnérabilité permettrait à l’attaquant d’élever les privilèges au niveau du compte de service SQL Server. Par défaut, le service s’exécute avec les privilèges d’un utilisateur de domaine, plutôt qu’avec des privilèges système.
- La vulnérabilité ne peut être exploitée que par un attaquant qui peut s’authentifier auprès d’un serveur SQL Server affecté ou qui dispose des autorisations nécessaires pour exécuter des requêtes directement sur le serveur
- La vulnérabilité ne peut être exploitée que par un attaquant qui peut s’authentifier auprès d’un serveur SQL Server affecté.
Défaut dans la gestion des fichiers de sortie pour les travaux planifiés :
- La vulnérabilité ne peut être exploitée que par un attaquant qui peut s’authentifier auprès d’un serveur SQL affecté.
Évaluation de gravité :
Mémoire tampon non case activée dans la fonction d’authentification SQL Server 2000 :
| Serveurs Internet | Serveurs Intranet | Systèmes clients | |
|---|---|---|---|
| SQL Server 7.0 (y compris MSDE 1.0) | None | None | None |
| SQL Server 2000(y compris MSDE 2000) | Critique | Critique | Aucun |
Mémoire tampon non case activée dans les commandes de la console de base de données :
| Serveurs Internet | Serveurs Intranet | Systèmes clients | |
|---|---|---|---|
| SQL Server 7.0 (y compris MSDE 1.0) | Critique | Critique | Aucun |
| SQL Server 2000(y compris MSDE 2000) | Critique | Critique | Aucun |
Défaut dans la gestion des fichiers de sortie pour les travaux planifiés :
| Serveurs Internet | Serveurs Intranet | Systèmes clients | |
|---|---|---|---|
| SQL Server 7.0 (y compris MSDE 1.0) | Critique | Critique | Aucun |
| SQL Server 2000(y compris MSDE 2000) | Critique | Critique | Aucun |
Gravité agrégée de tous les problèmes inclus dans ce correctif (y compris les problèmes résolus dans les correctifs précédemment publiés) :
| Serveurs Internet | Serveurs Intranet | Systèmes clients | |
|---|---|---|---|
| SQL Server 7.0 (y compris MSDE 1.0) | Critique | Critique | Aucun |
| SQL Server 2000(y compris MSDE 2000) | Critique | Critique | Aucun |
L’évaluation ci-dessus est basée sur les types de systèmes affectés par la vulnérabilité, leurs modèles de déploiement classiques et l’effet que l’exploitation de la vulnérabilité aurait sur eux.
Identificateurs de vulnérabilité :
- Mémoire tampon non case activée dans la fonction d’authentification SQL Server 2000 : CAN-2002-1123
- Mémoire tampon non case activée dans les commandes de la console de base de données : CAN-2002-1137
- Défaut dans la gestion des fichiers de sortie pour les travaux planifiés : CAN-2002-1138
Versions testées :
Microsoft a testé SQL Server 2000 et SQL Server 7.0 (et leurs versions associées de MSDE) pour évaluer s’ils sont affectés par ces vulnérabilités. Les versions précédentes ne sont plus prises en charge et peuvent ou non être affectées par ces vulnérabilités.
Forum aux questions
Quel est l’ordre correct d’installation de ce correctif conjointement avec le correctif logiciel décrit dans317748 ?
Ce correctif de sécurité ne contient pas de correctif de l’article de la Base de connaissances 317748 nécessaire pour garantir le fonctionnement normal de SQL Server 2000 et MSDE 2000. L’ordre d’installation correct consiste à installer le correctif 317748 , puis à ce correctif de sécurité. Si vous avez appliqué ce correctif de sécurité à une installation DE SQL Server 2000 ou MSDE 2000 avant d’appliquer le correctif logiciel à partir de l’article de Knowledge Patch 317748, vous devez répondre « non » si et quand vous êtes invité à remplacer les fichiers pour vous assurer que vous ne remplacez pas les fichiers à partir du correctif de sécurité.
Comment faire case activée j’ai installé ce correctif de sécurité ?
Vous devez vérifier que la version de ssnetlib.dll dans le dossier \MSSQL\BINN pour l’instance pour laquelle vous avez appliqué le correctif est la suivante : 2000.80.679.0 Si la version du ssnetlib.dll dans le dossier \MSSSQL\BINN est inférieure à 2000.80.636.0, vous devez appliquer à nouveau le correctif de sécurité. Toutefois, Microsoft vous recommande d’appliquer le dernier correctif de sécurité, comme décrit dans MS02-061 , car il contient des correctifs pour des vulnérabilités de sécurité supplémentaires dans ces produits.
Quelles vulnérabilités ce correctif élimine-t-il ?
Il s’agit d’un correctif cumulatif qui, lorsqu’il est appliqué, traite toutes les vulnérabilités précédemment traitées. En outre, il élimine trois nouvelles vulnérabilités :
- Vulnérabilité qui pourrait permettre à un attaquant de contrôler une base de données SQL Server 2000.
- Nouvelle variante d’une vulnérabilité présentée à l’origine dans le Bulletin de sécurité Microsoft MS02-038, via laquelle un utilisateur déjà authentifié pourrait obtenir des privilèges supplémentaires sur un serveur SQL Server.
- Vulnérabilité à laquelle un utilisateur peut potentiellement entraîner l’exécution d’un programme lorsqu’un autre utilisateur est ensuite connecté au système ou remplace les fichiers auxquels le service SQL Server Agent aurait autrement accès.
Ce correctif est-il cumulatif ?
Ce correctif remplace tous les correctifs de sécurité précédemment publiés impliquant les moteurs de base de données SQL Server 7.0 et SQL Server 2000. Toutefois, l’application de ce correctif n’est pas suffisante pour sécuriser entièrement un serveur SQL Server :
- Un correctif de sécurité pour SQL Server 2000, abordé dans le Bulletin de sécurité Microsoft MS02-035, nécessite une correction via un outil plutôt qu’un correctif. L’outil doit uniquement être exécuté une seule fois, de sorte que les clients qui l’ont déjà exécuté n’ont pas besoin d’effectuer d’action supplémentaire. Toutefois, l’installation de ce correctif n’entraîne pas l’exécution de l’outil.
- Le correctif n’inclut aucun correctif pour les vulnérabilités de sécurité impliquant les technologies MDAC (Microsoft Data Access Components) ou OLAP (Online Analytics Processing) pour SQL Server. Les correctifs pour ces problèmes (répertoriés dans la section Mises en garde ci-dessous) doivent être appliqués séparément.
La section Versions affectées indique que microsoft Desktop Engine (MSDE) est également affecté par ces vulnérabilités. Qu’est-ce que MSDE ?
Microsoft Desktop Engine (MSDE) est un moteur de base de données basé sur la technologie SQL Server, qui est fourni dans le cadre de plusieurs produits Microsoft, notamment Microsoft Visual Studio et Microsoft Bureau Developer Edition. Il existe une connexion directe entre les versions de MSDE et les versions de SQL Server. MSDE 1.0 est basé sur SQL Server 7.0 ; MSDE 2000 est basé sur SQL Server 2000.
Le correctif inclut-il d’autres correctifs ?
Le correctif résout également un problème qui, même s’il ne s’agit pas d’une vulnérabilité de sécurité, pourrait néanmoins aider un attaquant à tirer parti d’un système mal configuré. Plus précisément, le correctif modifie l’opération de SQL Server pour limiter les utilisateurs non privilégiés à l’exécution de requêtes uniquement sur les données SQL Server. Dans le cas où un fournisseur de données non-SQL avait été installé sur le système et que le pilote du fournisseur n’appliquait pas de sécurité appropriée, cette modification empêcherait les utilisateurs non privilégiés d’abuser de la situation.
Mémoire tampon non case activée dans la fonction d’authentification SQL Server 2000 (CAN-2002-1123) :
Quelle est l’étendue de cette vulnérabilité ?
Il s’agit d’une vulnérabilité de dépassement de mémoire tampon. En envoyant une demande de connexion particulièrement incorrecte à un serveur affecté, un attaquant peut provoquer l’échec du service SQL Server ou prendre le contrôle de la base de données. Il n’est pas nécessaire que l’utilisateur s’authentifie correctement auprès du serveur afin d’exploiter la vulnérabilité.
Cette vulnérabilité affecte uniquement SQL Server 2000 et MSDE 2000. Bien que la vulnérabilité offre un moyen de contrôler la base de données, elle n’accorderait pas, dans des conditions par défaut, des privilèges significatifs à l’attaquant au niveau du système d’exploitation.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité résulte du fait qu’une fonction dans SQL Server 2000 (et MSDE 2.0) qui gère les demandes d’authentification contient une mémoire tampon non case activée ed. En appelant cette fonction avec des paramètres spécialement choisis, un attaquant peut provoquer une condition de dépassement de mémoire tampon.
Quelles demandes d’authentification faites-vous référence ?
Selon la configuration du serveur, il peut utiliser l’une des deux méthodes pour authentifier les utilisateurs : l’authentification SQL Server ou l’authentification Windows. Toutefois, avant le processus d’authentification réel, SQL Server échange des informations préliminaires. La vulnérabilité réside dans l’une des fonctions impliquées dans cet échange préliminaire.
Qu’est-ce qui ne va pas avec la fonction d’authentification ?
La fonction souffre d’une mémoire tampon non case activée ed. En raison de cela, il peut être possible pour un attaquant d’initier un échange préliminaire d’une manière qui dépasserait la mémoire tampon, remplaçant ainsi la mémoire au sein du service SQL Server dans le processus.
Qu’est-ce que cette vulnérabilité peut permettre à un attaquant de faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait effectuer l’une des deux opérations suivantes. S’il a fourni des données aléatoires, l’effet d’un remplacement de la mémoire du service serait de provoquer l’échec. Dans le cas où l’administrateur peut restaurer l’opération normale en redémarrant SQL Server.
En revanche, en fournissant des données soigneusement choisies, l’attaquant peut modifier le service SQL Server pour effectuer de nouvelles fonctions qu’il a choisies. L’effet serait de donner au attaquant un contrôle total sur le serveur SQL et de lui permettre d’ajouter, de supprimer ou de modifier des données ; reconfigurez les paramètres SQL Server ou effectuez toute autre action souhaitée sur la base de données.
Qui pouvez exploiter la vulnérabilité ?
Tout utilisateur susceptible d’engager une tentative d’authentification avec un impact sur SQL Server ( que la tentative ait réussi ou non) puisse exploiter la vulnérabilité.
Cela signifie-t-il que l’attaquant n’aurait pas besoin d’un id utilisateur et d’un mot de passe SQL Server valides pour exploiter la vulnérabilité ?
Réponse correcte. En raison de l’emplacement où réside la vulnérabilité dans la fonction d’authentification, l’attaquant n’aurait pas besoin de pouvoir se connecter au serveur . il ou elle doit uniquement être en mesure de remettre les paquets de données qui signent le début d’une tentative d’authentification.
La vulnérabilité peut-elle être exploitée à partir d’Internet ?
Cela dépend de la question de savoir si l’attaquant peut s’engager dans un échange d’authentification. Pour ce faire, le port SQL Server (port 1433) doit être ouvert sur le pare-feu. Si le port a été fermé (comme cela doit être absolument nécessaire), un attaquant n’a pas pu exploiter cette vulnérabilité à partir d’Internet.
J’exécute SQL Server 7.0. Puis-je être affecté par cette vulnérabilité ?
Non. Elle affecte uniquement SQL Server 2000 (et MSDE 2000) ; elle n’affecte pas SQL Server 7.0 (ou MSDE 1.0). Toutefois, les administrateurs SQL Server 7.0 doivent toujours installer le correctif, car d’autres vulnérabilités décrites dans ce bulletin affectent SQL Server 7.0.
Comment le correctif traite-t-il cette vulnérabilité ?
Le correctif institue une mémoire tampon appropriée case activée la fonction d’authentification.
Mémoire tampon non case activée dans les commandes de la console de base de données (CAN-2002-1137) :
Quelle est l’étendue de cette vulnérabilité ?
Il s’agit d’une nouvelle variante d’une vulnérabilité signalée à l’origine dans le Bulletin de sécurité Microsoft MS02-038. Comme la vulnérabilité d’origine, il s’agit d’une vulnérabilité de dépassement de mémoire tampon, par le biais de laquelle il peut être possible qu’un attaquant provoque l’échec de SQL Server ou qu’il obtienne un contrôle total sur la base de données.
Quelles sont les causes de la vulnérabilité ?
Les résultats de la vulnérabilité, car l’un des utilitaires dbCC (Database Console Command) fournis dans le cadre de SQL Server contient des mémoires tampons non case activée ed dans la section du code qui gère les entrées utilisateur.
Qu’est-ce que la commande de la console de base de données (DBCC) ?
Les programmes DBCC sont des programmes utilitaires fournis dans le cadre de SQL Server 2000. Leur objectif est de fournir aux administrateurs de base de données un moyen simple d’effectuer des tâches courantes de nettoyage. Par exemple, les contrôleurs de base de données sont disponibles pour défragmenter les bases de données, réparer des erreurs mineures, afficher les statistiques d’utilisation, etc. Une liste complète des contrôleurs de base de données disponibles dans le cadre de SQL Server 2000 est incluse dans la fonctionnalité d’aide en ligne de SQL Server 2000.
Comment cette vulnérabilité diffère-t-elle des vulnérabilités DBCC abordées dans le Bulletin de sécurité MS02-038 ?
Cette vulnérabilité est identique aux vulnérabilités DBCC décrites dans le Bulletin de sécurité Microsoft MS02-038 avec une exception. Contrairement aux contrôleurs de base de données abordés dans MS02-038, celui affecté par cette variante peut être exécuté par n’importe quel utilisateur SQL.
Comment le correctif traite-t-il la vulnérabilité ?
Le correctif institue une gestion appropriée des mémoires tampons dans la DBCC affectée.
Défaut dans la gestion des fichiers de sortie pour les travaux planifiés (CAN-2002-1138) :
Quelle est l’étendue de cette vulnérabilité ?
Cette vulnérabilité peut permettre à un attaquant d’effectuer l’une des deux opérations suivantes : créer un programme qui serait ensuite exécuté lorsqu’un autre utilisateur s’est connecté au serveur ou endommagé les fichiers système dans un effort pour perturber l’opération du système.
La vulnérabilité ne peut être exploitée que par un attaquant qui peut s’authentifier auprès du serveur SQL. En outre, dans le premier scénario d’attaque décrit ci-dessus, l’effet de l’exploitation de la vulnérabilité dépendrait des privilèges spécifiques de l’utilisateur qui s’est connecté par la suite au système.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est due au fait que, lorsque l’Agent SQL Server crée un fichier de sortie dans le cadre d’un travail planifié, il utilise ses propres privilèges plutôt que ceux de l’utilisateur propriétaire du travail ou d’un compte proxy configuré si le propriétaire du travail n’est pas administrateur système (membre du rôle serveur sysadmin) dans SQL Server ou si le propriétaire du travail est un utilisateur SQL Server standard.
Qu’est-ce que SQL Server Agent ?
SQL Server Agent est chargé d’exécuter des travaux planifiés, de redémarrer le service de base de données et d’autres opérations administratives.
Qu’est-ce qu’un travail planifié ?
Les travaux planifiés offrent un moyen de faire en sorte que SQL Server effectue une action désignée à un moment donné. Les travaux planifiés sont fréquemment utilisés par les administrateurs pour effectuer des tâches de maintenance planifiées régulièrement telles que des sauvegardes.
Qui pouvez créer des travaux planifiés ?
Tout utilisateur peut créer un travail planifié, mais l’Agent SQL Server exécute uniquement une étape de travail particulière si le demandeur dispose de privilèges appropriés.
Quel est le problème de la façon dont SQL Server Agent traite les travaux planifiés ?
Par conception, toutes les étapes d’un travail planifié doivent être effectuées à l’aide des privilèges de la personne qui a soumis le travail ou, dans certains cas, celles d’un compte proxy. Toutefois, lorsqu’un travail appelle un fichier de sortie à créer, SQL Server Agent le fait à l’aide de ses propres privilèges. Étant donné que le compte de service SQL Server Agent est souvent configuré avec des privilèges d’administration Windows, cela permet à un travail de créer un fichier n’importe où sur le système, quels que soient les privilèges de l’utilisateur.
Qu’est-ce que cette vulnérabilité peut permettre à un attaquant de faire ?
Un attaquant qui a réussi à exploiter la vulnérabilité peut créer un fichier sur le système, à l’une des deux fins suivantes :
- Interruption de l’opération système. En remplaçant les fichiers système avec des données aléatoires, l’attaquant peut potentiellement provoquer l’échec du système.
- L’exécution du programme par d’autres utilisateurs entraîne l’exécution du programme de l’attaquant. En créant un fichier de sortie qui contenait des commandes de système d’exploitation valides et en le plaçant dans le dossier approprié (par exemple, le dossier démarrage d’un autre utilisateur), l’attaquant peut entraîner l’exécution des commandes lors de la prochaine connexion d’un autre utilisateur sur le système.
Comment un attaquant pourrait-il exploiter cette vulnérabilité ?
Une personne malveillante n’aurait besoin que de la possibilité de se connecter à un serveur concerné pour exploiter la vulnérabilité. Il peut ensuite créer un travail planifié qui crée un fichier de sortie, l’envoyer et exploiter ainsi la vulnérabilité.
Si l’attaquant a remplacé les fichiers système, qu’est-ce qui serait nécessaire pour reprendre l’opération normale ?
Cela dépend des fichiers qui ont été remplacés. Il peut uniquement exiger que l’administrateur redémarre le service. Toutefois, dans le pire des cas, l’administrateur peut avoir besoin de restaurer des fichiers système à l’aide d’un disque de réparation d’urgence.
Si l’attaquant a créé un programme dans le dossier Démarrage d’un autre utilisateur, que pourrait-il faire ?
Cela dépendait des privilèges que l’utilisateur avait. Tout ce que l’utilisateur peut faire, le programme peut également le faire.
Comment le correctif traite-t-il la vulnérabilité ?
Le correctif entraîne l’utilisation des informations d’identification du propriétaire du travail si la connexion est un utilisateur authentifié Windows ou les informations d’identification du compte proxy si la connexion est un utilisateur authentifié SQL Server, lorsque vous déterminez qui a le droit de produire un fichier de sortie à partir d’une étape de travail. Par conséquent, les travaux des utilisateurs pourront toujours créer des fichiers de sortie, mais uniquement dans les zones où l’utilisateur ou les privilèges du compte proxy le permettent.
Disponibilité des retouches
Télécharger les emplacements de ce correctif
Informations supplémentaires sur ce correctif
Plateformes d’installation :
- Le correctif SQL Server 7.0 peut être installé sur les systèmes exécutant SQL Server 7.0 Service Pack 4.
- Le correctif SQL Server 2000 peut être installé sur les systèmes exécutant SQL Server 2000 Service Pack 2.
Inclusion dans les service packs futurs :
Le correctif de ce problème sera inclus dans SQL Server 2000 Service Pack 3.
Redémarrage nécessaire : Non. Il est uniquement nécessaire de redémarrer les services SQL
Le correctif peut être désinstallé : le readme.txt contenu dans les packages téléchargeables contient des instructions de désinstallation.
**Correctifs remplacés :**Ce correctif remplace celui fourni dans le Bulletin de sécurité Microsoft MS02-043, qui était lui-même un correctif cumulatif.
Vérification de l’installation des correctifs :
SQL Server 7.0 :
Pour vous assurer que le correctif est correctement installé, vérifiez les fichiers individuels en consultant l’horodatage de date/heure des fichiers répertoriés dans l’article de la Base de connaissances Microsoft à l’adresse </https :>https :
SQL Server 2000 :
Pour vous assurer que le correctif est correctement installé, vérifiez les fichiers individuels en consultant l’horodatage de date/heure des fichiers répertoriés dans l’article de la Base de connaissances Microsoft à l’adresse </https :>https :
Avertissements :
- Si vous exécutez Microsoft Windows NT Server 4.0 Service Pack 6, vous devez appliquer le correctif logiciel décrit dans Q258437 avant d’appliquer ce correctif. Q258437 est désormais disponible pour le téléchargement public. Pour plus d’informations, consultez l’article de la base de connaissances.
- Ce correctif n’inclut pas les fonctionnalités de l’outil Killpwd fourni dans le Bulletin de sécurité Microsoft MS02-035.
- Le correctif ne remplace pas les correctifs précédemment publiés pour MDAC ou OLAP sous SQL Server 2000. À cet écrit, ces correctifs incluent ceux abordés dans :
- Bulletinde sécurité Microsoft MS00-092
- Bulletinde sécurité Microsoft MS01-041
- Bulletinde sécurité Microsoft MS02-030
- Le processus d’installation du correctif varie légèrement en fonction de la configuration spécifique du serveur. Les administrateurs système doivent s’assurer qu’ils lisent le fichier Readme.txt dans le package de correctifs pour s’assurer que le correctif est installé correctement.
Localisation :
Les versions localisées de ce correctif sont disponibles aux emplacements décrits dans « Disponibilité des correctifs ».
Obtention d’autres correctifs de sécurité :
Les correctifs pour d’autres problèmes de sécurité sont disponibles à partir des emplacements suivants :
- Les correctifs de sécurité sont disponibles à partir du Centre de téléchargement Microsoft et sont facilement trouvés en effectuant une recherche mot clé pour « security_patch ».
- Les correctifs pour les plateformes grand public sont disponibles à partir du site web WindowsUpdate
Informations supplémentaires :
Accusés de réception
Microsoft remercie les personnes suivantes :
Problème concernant les requêtes ad hoc sur des sources de données OLEDB autres que SQL :
sk@scan-associates.net et pokleyzz@scan-associates.net
Mémoire tampon non case activée dans les commandes de la console de base de données :
Martin Rakhmanoff (jimmers@yandex.ru)
Support :
- L’article de la Base de connaissances Microsoft Q316333 traite de ce problème et sera disponible environ 24 heures après la publication de ce bulletin. Vous trouverez les articles de la Base de connaissances sur le site web du support microsoft Online.
- Le support technique est disponible auprès des services de support technique Microsoft. Il n’y a aucun frais pour les appels de support associés aux correctifs de sécurité.
Ressources de sécurité : Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité :
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions:
- V1.0 (02 octobre 2002) : Bulletin créé.
- V1.1 (09 octobre 2002) : section Mises à jour des mises à jour de la section Mises à jour.
- V1.2 (31 janvier 2003) : mise à jour pour informer de la supercedence par MS02-061 et clarifier l’ordre d’installation lorsque le correctif logiciel 317748 est appliqué conjointement avec ce correctif de sécurité.
Construit à 2014-04-18T13 :49 :36Z-07 :00</https :>