Luka w Microsoft SQL Server

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/102,Luka-w-Microsoft-SQL-Server.html
Wygenerowano: Sobota, 4 marca 2017, 14:18
Luka w Microsoft SQL Server
Microsoft ostrzega przed luką w SQL Server, która może pozwolić atakującemu na zdalne wykonanie kodu.
Błąd został znaleziony w zabezpieczeniach Extended Stored Procedure „sp_replwritetovarbin” przez co intruz może wykonać
dowolny skrypt w ramach procesu SQL Server. Wykorzystanie luki jest możliwe za pośrednictwem zalogowanego
użytkownika albo przez wykorzystanie SQL Injection.
Problem dotyczy wersji Microsoft SQL Server 2000, Microsoft SQL Server 2005, Microsoft SQL Server 2005 Express Edition,
Microsoft SQL Server 2000 Desktop Engine oraz Windows Internal Database. Według Microsoftu SQL Server 7.0 Service Pack
4, Microsoft SQL Server 2005 Service Pack 3 oraz Microsoft SQL Server 2008 nie są podatne.
CERT.GOV.PL zaleca zapoznanie się z poradnikiem bezpieczeństwa 961040 oraz zainstalowanie tymczasowego obejścia
(workaround) sugerowanego w dokumencie. Jednak najlepszym rozwiązaniem jest aktualizacja swojego środowiska do
odpowiednich wersji.
Źródło:
http://www.microsoft.com/technet/security/advisory/961040.mspx
Microsoft SQL Server, podatność
RG
Ocena: 0/5 (0)