WEB开发网
开发学院数据库MSSQL Server SQL Server 7.0到2005的安全漏洞会允许登录权限提... 阅读

SQL Server 7.0到2005的安全漏洞会允许登录权限提高?

 2008-09-27 10:05:28 来源:WEB开发网   
核心提示:问题 在最近一次访问西部地区的旅途中,我们通过广播得知,SQL Server 7.0到2005的安全漏洞会允许登录权限提高?,在温哥华岛的海岸边发生了一系列的地震,尽管负责监测这些活动的科学家都充分认识到这一情况,在完成安装之后,执行SELECT @@version查询会显示SQL Server的最新版本,但当时我们正

问题

在最近一次访问西部地区的旅途中,我们通过广播得知,在温哥华岛的海岸边发生了一系列的地震。尽管负责监测这些活动的科学家都充分认识到这一情况,但当时我们正好直接航行到地震发生的地方,却从来没有发现什么东西。你可能会觉得奇怪,这与SQL Server有什么关系。嗯,除非你监测这个功能的发布,要不然你可能不知道SQL Server 2005的最新安全版本的发布。无论如何,KB948109发布于七月,它提供了防止安全漏洞的保护,这个安全漏洞会允许黑客把权限提高。虽然这个安全更新只是七月发布的更大的微软安全公告 MS08-040的一部分,我只是专注于与Microsoft SQL Server 2005相关的知识库文章。这个安全漏洞和更新的代码实际上包含了SQL Server 7.0到 SQL Server 2005的所有版本。

专家解答

根据微软的建议,这个更新(Microsoft SQL Server中的安全漏洞可能允许权限提高)应该在最早的时机里应用于从SQL Server 7.0到SQL Server 2005的实例。涉及这个更新阻止了哪些行为的信息,SQL Server可应用的版本,与这个更新有关的大家知道的问题还有更新Microsoft SQL Server的实例的指导都可以在以下微软支持的网站中找到:

微软安全公告MS08-040 - Microsoft SQL Server中的安全漏洞可能允许权限提高(941203)

² http://www.microsoft.com/technet/security/bulletin/MS08-040.mspx

² 对已公开的安全漏洞的高层次描述

² 易受安全漏洞袭击的所有软件版本的清单

² 在安装最新的安全更新之前,必须安装的服务程序包的清单

SQL Server 2005 Service Pack 2中的安全更新 (KB948109)

² http://support.microsoft.com/948109

² 有关最新安全更新KB948109的安装的大家知道的问题的详细解释

² 关于如何获得这些更新执行内容的信息

² 与这个发布有关的文件属性的详细清单

² Itanium,x64,还有x86 安全升级的执行内容

重要的是要注意到,在开始更新之前,你应该备份你所有的系统数据库。我也建议为实例上的每个用户数据库备份你所有的事务日志。我没有在文件中见过有关这些步骤中的任何一步的参考书目,但是养成无论何时你对你的SQL Server实例做改动的好习惯,这是一个很好的尝试。因为到目前为止,利用所有SQL Server 2005服务程序包的安装和安全更新,你需要在安装过程中,把服务器上与正在更新的文件有关的服务都关掉。这个更新要求你关掉SQL服务。默认情况下,这个更新也会关掉SQL Server Agent服务,因为它依赖于基本的SQL Server服务来运行。这个更新的另一个要求是,SQL Server VSS Writer服务一定是正在运行的。如果你希望关掉这个服务,那么在更新完成后你可以使这个服务不能使用。

这个更新一个有趣的结果(在我的字典里,如果你一个人在家玩,“有趣的”就是“不幸的”的同义词)是在完成之际,SQL Server的一些基本服务的设置将发生改变。 一旦这个过程完成,My SQL Server,SQL Server Agent还有全文检索服务都被设置为手动启动模式。它们原来都设置为自动启动模式(因为很明显的原因)。此外,当全文检索服务启动并且运行时,SQL Server 和SQL Server Agent并没有启动和运行。我也曾经听到一些报告说,SQL Server Reporting Services服务也同样被影响:服务被关掉并且设置为手动启动。要解决这个问题,可以通过SQL Server Configuration Manager把服务设置为手动启动,接着启动刚被关掉的受到影响的服务。

你会注意到,在完成安装之后,执行SELECT @@version查询会显示SQL Server的最新版本,那就是9.00.3068.00。

Tags:SQL Server 安全漏洞

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接