Microsoft подтверждает наличие новой опасности в SQL Server
Компания Microsoft подтвердила существование новой потенциально серьезной угрозы безопасности для пользователей ее баз данных SQL Server. Уязвимость обнаружена в одной из процедур тиражирования таблиц подписки, которая при определенных условиях может привести к удаленному выполнению кода. Однако пока Microsoft не слышала, дабы кто-то использовал эту дыру в защите или дабы кто-то из пользователей от нее пострадал. О наличии уязвимости компания рассказала еще в прошлый понедельник. Дыра в защите связана с “неверной проверкой параметров” в процедуре "sp_replwritetovarbin", использующейся для тиражирования таблиц подписки для пользователей. По данным Microsoft уязвимость может приводить к удаленному выполнению кода у пользователей различных версий Microsoft SQL Server, в список которых не вошли лишь Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 и Microsoft SQL Server 2008, которые, по данным компании, не подвержены этой опасности. Кроме того, для использования этой уязвимости атакующему надо либо аутентифицироваться, либо использовать перевес уязвимости “SQL инъекции”, которая приводит к аутентификации. Также, MSDE 2000 и SQL Server 2005 Express по умолчанию не разрешают удаленные подключения. Поэтому для использования этой уязвимости на этих системах атакующему потребуется локально инициировать эксплоит.
www.winline.ru
публикации сходной тематики
- Обновлен пакет сервисов и решений для пользователей Microsoft SQL Server 2005
- Критическая уязвимость в Microsoft Office Web Components Spreadsheet ActiveX компоненте
- Вышел Service Pack 1 для Exchange Server 2007
- Windows Server 2008 RC0 - ссылки на загрузку
- Сегодня Microsoft закроет еще 34 уязвимости в своих продуктах