Microsoft Security Bulletin MS02-038

Unchuld-Puffer in SQL Server 2000
Jetzt downloaden

Microsoft Security Bulletin MS02-038 Ranking & Zusammenfassung

Anzeige

  • Rating:
  • Lizenz:
  • Update
  • Preis:
  • Free
  • Name des Herausgebers:
  • By Microsoft
  • Website des Verlags:
  • http://www.microsoft.com/
  • Betriebssysteme:
  • Windows, Windows 2000
  • Zusätzliche Anforderungen:
  • Microsoft SQL Server 2000. Microsoft Desktop Engine (MSDE) 2000
  • Dateigröße:
  • 9.06MB
  • Downloads insgesamt:
  • 93

Microsoft Security Bulletin MS02-038 Stichworte


Microsoft Security Bulletin MS02-038 Beschreibung

Dieser Patch beseitigt zwei neu entdeckte Schwachstellen, die sich auf SQL Server 2000 und MSDE 2000 auswirken Erlauben Sie Wartung und andere Vorgänge, die auf einem SQL-Server ausgeführt werden sollen. Während viele davon nur von Sysadmin ausführbar sind, sind einige von den Mitgliedern der Rollen DB_OWNER- und DB_DDLADMIN-Rollen ausführbar. In der ernsthaftsten Fall würde die Nutzung dieser Sicherheitsanfälligkeit einen Angreifer ermöglichen, um Code im Kontext des SQL Server-Dienstes auszuführen, wodurch der Angreifer die vollständige Kontrolle über alle Datenbanken auf dem Server ergibt. Eine SQL-Injektionsanfälligkeit, die in zwei gespeicherten Prozeduren auftritt, die in der Datenbankreplikation verwendet werden. Eine davon kann nur von Benutzern betrieben werden, die die Rolle der DB_Owner zugewiesen wurden. Der andere kann aufgrund eines Berechtigungsfehlers von jedem Benutzer ausgeführt werden, der sich interaktiv an dem Server anmelden könnte. Die Nutzung der Sicherheitsanfälligkeit könnte es einem Angreifer ermöglichen, den Betriebssystembefehlen auf dem Server auszuführen, unterliegt jedoch erhebliche Minderungsfaktoren, wie unten diskutiert.


Microsoft Security Bulletin MS02-038 Zugehörige Software

Über uns