| Microsoft Security Bulletin MS02-038 Unchuld-Puffer in SQL Server 2000 |
Jetzt downloaden |
Microsoft Security Bulletin MS02-038 Ranking & Zusammenfassung
- Name des Herausgebers:
- By Microsoft
- Website des Verlags:
- http://www.microsoft.com/
- Betriebssysteme:
- Windows, Windows 2000
- Zusätzliche Anforderungen:
- Microsoft SQL Server 2000. Microsoft Desktop Engine (MSDE) 2000
Microsoft Security Bulletin MS02-038 Stichworte
Microsoft Security Bulletin MS02-038 Beschreibung
Dieser Patch beseitigt zwei neu entdeckte Schwachstellen, die sich auf SQL Server 2000 und MSDE 2000 auswirken Erlauben Sie Wartung und andere Vorgänge, die auf einem SQL-Server ausgeführt werden sollen. Während viele davon nur von Sysadmin ausführbar sind, sind einige von den Mitgliedern der Rollen DB_OWNER- und DB_DDLADMIN-Rollen ausführbar. In der ernsthaftsten Fall würde die Nutzung dieser Sicherheitsanfälligkeit einen Angreifer ermöglichen, um Code im Kontext des SQL Server-Dienstes auszuführen, wodurch der Angreifer die vollständige Kontrolle über alle Datenbanken auf dem Server ergibt. Eine SQL-Injektionsanfälligkeit, die in zwei gespeicherten Prozeduren auftritt, die in der Datenbankreplikation verwendet werden. Eine davon kann nur von Benutzern betrieben werden, die die Rolle der DB_Owner zugewiesen wurden. Der andere kann aufgrund eines Berechtigungsfehlers von jedem Benutzer ausgeführt werden, der sich interaktiv an dem Server anmelden könnte. Die Nutzung der Sicherheitsanfälligkeit könnte es einem Angreifer ermöglichen, den Betriebssystembefehlen auf dem Server auszuführen, unterliegt jedoch erhebliche Minderungsfaktoren, wie unten diskutiert.
Microsoft Security Bulletin MS02-038 Zugehörige Software