Luka w Microsoft SQL Server
Transkrypt
Luka w Microsoft SQL Server
CERT.GOV.PL Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/102,Luka-w-Microsoft-SQL-Server.html Wygenerowano: Sobota, 4 marca 2017, 14:18 Luka w Microsoft SQL Server Microsoft ostrzega przed luką w SQL Server, która może pozwolić atakującemu na zdalne wykonanie kodu. Błąd został znaleziony w zabezpieczeniach Extended Stored Procedure „sp_replwritetovarbin” przez co intruz może wykonać dowolny skrypt w ramach procesu SQL Server. Wykorzystanie luki jest możliwe za pośrednictwem zalogowanego użytkownika albo przez wykorzystanie SQL Injection. Problem dotyczy wersji Microsoft SQL Server 2000, Microsoft SQL Server 2005, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine oraz Windows Internal Database. Według Microsoftu SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 oraz Microsoft SQL Server 2008 nie są podatne. CERT.GOV.PL zaleca zapoznanie się z poradnikiem bezpieczeństwa 961040 oraz zainstalowanie tymczasowego obejścia (workaround) sugerowanego w dokumencie. Jednak najlepszym rozwiązaniem jest aktualizacja swojego środowiska do odpowiednich wersji. Źródło: http://www.microsoft.com/technet/security/advisory/961040.mspx Microsoft SQL Server, podatność RG Ocena: 0/5 (0)