SQL Server 7.0到2005的安全漏洞会允许登录权限提高？

【 tulaoshi.com - 编程语言 】

　　问题

　　在最近一次访问西部地区的旅途中，我们通过广播得知，在温哥华岛的海岸边发生了一系列的地震。尽管负责监测这些活动的科学家都充分认识到这一情况，但当时我们正好直接航行到地震发生的地方，却从来没有发现什么东西。你可能会觉得奇怪，这与SQL Server有什么关系。嗯，除非你监测这个功能的发布，要不然你可能不知道SQL Server 2005的最新安全版本的发布。无论如何，KB948109发布于七月，它提供了防止安全漏洞的保护，这个安全漏洞会允许黑客把权限提高。虽然这个安全更新只是七月发布的更大的微软安全公告 MS08-040的一部分，我只是专注于与Microsoft SQL Server 2005相关的知识库文章。这个安全漏洞和更新的代码实际上包含了SQL Server 7.0到 SQL Server 2005的所有版本。

　　专家解答

　　根据微软的建议，这个更新(Microsoft SQL Server中的安全漏洞可能允许权限提高)应该在最早的时机里应用于从SQL Server 7.0到SQL Server 2005的实例。涉及这个更新阻止了哪些行为的信息，SQL Server可应用的版本，与这个更新有关的大家知道的问题还有更新Microsoft SQL Server的实例的指导都可以在以下微软支持的网站中找到：

　　 微软安全公告MS08-040 - Microsoft SQL Server中的安全漏洞可能允许权限提高(941203)

　　² http://www.microsoft.com/technet/security/bulletin/MS08-040.mspx

　　² 对已公开的安全漏洞的高层次描述

　　² 易受安全漏洞袭击的所有软件版本的清单

　　² 在安装最新的安全更新之前，必须安装的服务程序包的清单

　　 SQL Server 2005 Service Pack 2中的安全更新 (KB948109)

　　² http://support.microsoft.com/948109

　　² 有关最新安全更新KB948109的安装的大家知道的问题的详细解释

　　² 关于如何获得这些更新执行内容的信息

　　² 与这个发布有关的文件属性的详细清单

　　² Itanium，x64，还有x86 安全升级的执行内容

　　重要的是要注意到，在开始更新之前，你应该备份你所有的系统数据库。我也建议为实例上的每个用户数据库备份你所有的事务日志。我没有在文件中见过有关这些步骤中的任何一步的参考书目，但是养成无论何时你对你的SQL Server实例做改动的好习惯，这是一个很好的尝试。因为到目前为止，利用所有SQL Server 2005服务程序包的安装和安全更新，你需要在安装过程中，把服务器上与正在更新的文件有关的服务都关掉。这个更新要求你关掉SQL服务。默认情况下，这个更新也会关掉SQL Server Agent服务，因为它依赖于基本的SQL Server服务来运行。这个更新的另一个要求是，SQL Server VSS Writer服务一定是正在运行的。如果你希望关掉这个服务，那么在更新完成后你可以使这个服务不能使用。

　　这个更新一个有趣的结果(在我的字典里，如果你一个人在家玩，“有趣的”就是“不幸的”的同义词)是在完成之际，SQL Server的一些基本服务的设置将发生改变。 一旦这个过程完成，My SQL Server，SQL Server Agent还有全文检索服务都被设置为手动启动模式。它们原来都设置为自动启动模式(因为很明显的原因)。此外，当全文检索服务启动并且运行时，SQL Server 和SQL Server Agent并没有启动和运行。我也曾经听到一些报告说，SQL Server Reporting Services服务也同样被影响：服务被关掉并且设置为手动启动。要解决这个问题，可以通过SQL Server Configuration Manager把服务设置为手动启动，接着启动刚被关掉的受到影响的服务。

　　你会注意到，在完成安装之后，执行SELECT @@version查询会显示SQL Server的最新版本，那就是9.00.3068.00。