Microsoft Security Advisory 961040

Wie ich bereits am 11.12.2008 berichtete, gibt es eine Sicherheitslücke in MS SQL Server 2000 und MS SQL Server 2005 in der Stored Procedure sp_replwritetovarbin durch eine fehlerhafte Parameterprüfung. Dazu hat MS am 22.12.2008 das korrespondierende Security Advisory veröffentlich, welches hier zu finden ist: Microsoft Security Advisory (961040)

Kumulatives Update #1 für MS SQL Server 2005 SP3

Auch wenn das Release bereits am 20.12.2008 war und ich zu diesem Zeitpunkt schon im Weihnachtsurlaub war, möchte ich den heutigen späten Vormittag dazu nutzen, um auf das CU1 für MS SQL Server 2005 SP3 hinzuweisen.

Aufgrund der Releasefolge der CUs für SP2 ergibt sich für das CU1 für SP3 eine Besonderheit, wer das CU einspielen sollte und wer nicht. Nach dem Featurefreeze und den beginnenden Tests für RTM des SP3 wurden die CUs 10 und 11 für SP2 entwickelt und released. Alle Fixes und Features aus diesen beiden CUs sind nicht in das SP3 eingeflossen. Wer also vor dem Update auf SP3 die CUs 10 und 11 schon eingespielt hatte, der muss das CU1 für SP3 nicht mehr einspielen. Wer nur bis CU9 gepatcht hatte, sollte das CU1 für SP3 noch nachziehen, um auf den selben Stand zu kommen.

Die Buildnummer nach dem Einspielen des CU1 für SP3 ist dann 9.00.4207

MS SQL Server 2008 und Hyper-V

Im MCSEBoard.de häufen sich in der letzten Zeit die Fragestellungen rund um Hyper-V. Die MS-Virtualisierungstechnologie scheint einzuschlagen wie eine Bombe und wird meines Erachtens nach anderen etablierten Herstellern auf dem Virtualisierungssektor einiges an Marktanteilen abgraben können. Je mehr MS-Serverinstallationen per Hyper-V virtualisiert werden, desto mehr Anwendungsserver werden „mitvirtualisiert“. Darunter werden sich mit an Sicherheit grenzender Wahrscheinlichkeit auch SQL Server befinden. Aus diesem Grunde möchte ich an dieser Stelle auf ein entsprechendes Whitepaper von MS hinweisen:

Titel: Running SQL Server 2008 in a Hyper-V Environment Best Practices and Performance Considerations

Zu beziehen gibt es das recht interessante Whitepaper hier.

MS SQL Server 2005 SP3 – Ein Anschein des Release

Es scheint, als wäre das SP3 für MS SQL Server 2005 (Buildnummer 9.00.4035) erschienen. Aaron Betrand berichtete heute Nacht vom Release, aber der hinterlegte Link ist zur aktuellen Stunde tot. Das weckt Erinnerungen an das Erscheinen und Verschwinden und Wiederauftauchen des Service Pack 2 für MS SQL Server 2005.

ABER: Mit Erscheinungsdatum 15.12.2008 gibt es bei Microsoft das MS SQL Server 2005 Express Edition SP3 zu Download, mit der schon benannten Buildnummer 9.00.4035.

Ich werde euch hier weiter informieren, sobald es Neuigkeiten zum SP 3 für MS SQL Server 2005 gibt.

Sicherheitslücke in MS SQL Server 2000 und MS SQL Server 2005

Der Newsdienst von Heise berichtete am 09.12.2008 über eine Sicherheitslücke im MS SQL Server 2000. Wenn man den Sicherheitsbericht der Firma SEC Consult allerdings liest, wird man feststellen das es sich dabei nicht nur um eine Sicherheitslücke im MS SQL Server 2000 handelt, sondern auch im MS SQL Server 2005. SEC hat hier mit Build 9.0.1399 getestet, bei mir lässt sich das Problem mit Build 9.0.3233 ebenfalls noch immer nachvollziehen.

Ein kurzer Test unter MS SQL Server 2008 (Buildnummer 10.0.1600) brachte lediglich die folgende Meldung:

Command(s) completed successfully.

So wollen wir das ja am Ende auch haben.

Update zum Beitrag "Vermisst: Cumulativ Update 2 für MS SQL Server 2008"

Vor einigen Tagen habe ich darüber berichtet, das Probleme bei der Bereitstellung der kumulativen Updatepakete 1 und 2 für MS SQL Server 2008 gab. Diese sind wohl mittlerweile ausgeräumt, denn die Updates lassen sich jetzt wieder auswählen und auch Anfordern. Beide Pakete haben mit 119 MB (CU 1) und 138 MB (CU 2) auch sehr vernünftige Größen.

Hier nochmal ein paar Informationen rund um die beiden CU’s:
Cumulative update package 1 for SQL Server 2008
Cumulative update package 2 for SQL Server 2008

Der SQL Server 2005 Best Practices Analyzer

Die Firma Microsoft stellt für viele ihrer Produkte die sogenannten Best Practice Analyzer zur Verfügung. Für viele Admins, welche SQL Server Installationen in ihren Umgebungen einsetzen, ist allerdings der SQL Server 2005 Best Practice Analyzer ein völlig Unbekannter, wie ich auch in meinem Job immer wieder feststellen muss. Allgemein bin ich der Meinung, das den BPA’s viel zu wenig Aufmerksamkeit geschenkt wird. Für den SQL Server 2005 BPA wollen wir das an dieser Stelle ändern.

Zu beziehen gibts das Objekt der Begierde HIER.

Nach der Installation des MSI’s findet sich der BPA gewohnt im Startmenü wieder und kann gestartet werden.

BPA-Welcome

Der BPA bietet die Möglichkeit einen sofortigen Scan für gewählte MS SQL Server 2005 Instanz(en) durchzuführen, als auch per Schedule gewählte MS SQL Server 2005 Instanz(en) zeitgesteuert und wiederholt zu scannen. Das gerade der getimte Scan von mehreren Instanzen auf Probleme, Fehler und Komplikationen im Unternehmensumfeld angebracht sein kann, muss ich hier kaum näher beleuchten.

Nach der Durchführung eines Scans wird dann in BPA-gewohnter Weise ein entsprechender Report generiert, bei dem man kritische Probleme sofort als erstes im Blick hat. Ein Klick auf einen Issue bringt weitere Details zum Vorschein, zusätzlich bietet sich die Möglichkeit, Troubleshootinginformationen für den jeweiligen Issue zu erhalten, oder den Issue zukünftig auszublenden.

BPA-Report

Erzeugte Reports lassen sich nach HTML, CSV und XML exportieren.

Und wie man sieht, findet der BPA auch spannende Probleme, auf die ich sonst an dieser Stelle mit dieser Testdatenbank garnicht gekommen wäre 😉

Vermisst: Cumulativ Update 2 für MS SQL Server 2008

Nach Installation einer neuen SQL Server 2008 Testmaschine gestern,welche initial mit der Buildnummer 10.0.1600.22 von der DVD kam, recherchierte ich nach verfügbaren Updates. Im Umfeld des SQL Servers erscheinen diese meistens als kumulative Updates.

Dabei überraschte vorallem eine Neuerung im zugehörigen KB:
Zitat: SQL Server 2008 hotfixes are now multilanguage.

Nach den Angaben des KB-Artikels ist das aktuellste CU für MS SQL Server 2008 das CU2, welches den Server auf den Build 10.0.1779.0 hebt. Also angefordert und von MS per Mail den Downloadlink erhalten. Dort erwartete mich aber lediglich ein Download für den SQL Server 2008 Native Client und kein CU2.

Eine kurze Recherche heute morgen ergab, das tatsächlich das CU2 für SQL Server 2008 vermisst wird. Mehr dazu berichtet Aaron Betrand von SQLblog.com auch hier.

NACHTRAG:

Auch beim CU1 (Buildnummer 10.0.1763.0) gibt es aktuell (zumindest bei mir) ein wenig Verwirrung. Dieses ist momentan nur (noch???) für IA64 erhältlich, die i386 sowie die x64-Downloads fehlen hier komplett.

CU1_only_IA64

Einrichten der SQL Server Powershell

Eines der neuen Features des SQL Server 2008 ist die Möglichkeit, die Powershellumgebung zu nutzen. Damit ist es möglich, von einer konfigurierten Powershell auf die folgenden SQL Server Versionen zuzugreifen:

  • SQL Server 2008
  • SQL Server 2005 (min. SP 2)
  • SQL Server 2000 (min. SP 4)

Selbstverständlich kann bei einer Verbindung auf eine Version vor SQL Server 2008 nur der entsprechende Funktionsumfang der jeweiligen, verbundenen SQL Server Version genutzt werden.

In diesem Beitrag möchte ich kurz darauf eingehen, wie man diese einrichtet.

Man öffne eine jungfräuliche Powershell, navigiere in das Verzeichnis der Wahl (im besten Falle ein separates für die PS-Konfiguration, was ich mir vorher anlege) und führe in nacheinander die beiden folgenden Kommandos aus:

add-pssnapin SqlServerProviderSnapin100
add-pssnapin SqlServerCmdletSnapin100

Damit haben wir die beiden verfügbaren SQL Server PS-Snapins in unsere aktuelle Konsole hinzugefügt und könnten damit sofort losarbeiten. Allerdings wären diese Einstellung mit der Beendigung der Powershell-Session wieder verloren. Um diese wiederverwenden zu können, lassen sich die aktuellen Powershellkonfigurationen exportieren. Damit können wir uns eine SQL Server-Powershellkonfiguration herstellen. Durchgeführt wird das mit dem folgenden Befehl:
Export-Console -Path <Dateiname>.psc1

Die Konfig-Datei welche wir erhalten, sieht von innen folgendermaßen aus:

[CODE]
<?xml version="1.0" encoding="utf-8"?>
<PSConsoleFile ConsoleSchemaVersion="1.0">
<PSVersion>1.0</PSVersion>
<PSSnapIns>
<PSSnapIn Name="SqlServerProviderSnapin100" />
<PSSnapIn Name="SqlServerCmdletSnapin100" />
</PSSnapIns>
</PSConsoleFile>

[/CODE]

BTW: Die Wiederverwendung "meiner" Konfig erlaube ich hiermit ausdrücklich. 😉 Eine SQL Server Powershell kann ich dann mit dem folgenden Kommando starten:
powershell.exe  -psconsolefile <Dateiname>.psc1

Herzlichen Glückwunsch, die SQL Server Powershell liegt uns zu Füßen. Und wo liegt jetzt der erste praktische Nutzen dieser Einrichtung? Vorrausgesetzt das wir mit dem aktuell angemeldeten Benutzer die notwendigen Berechtigungen haben, könnten wir mal eben die aktuelle Version des verbundenen SQL Servers abfragen. Die Query um dies per SQL zu tun sollte im allgemeinen bekannt sein:
Select @@Version

Dies ganze werden wir jetzt in ein PS-Kommando verpacken und ausführen:
invoke-sqlcmd -Query "Select @@version"

Auf meiner aktuellen SQL Server Testmaschine erhalte ich dabei das folgende Resultset zurück:
Microsoft SQL Server 2008 (RTM) – 10.0.1600.22 (Intel X86)