Security Bulletin MS02-007 и критические обновления SQL Server 7.0 / SQL Server 2000 от Microsoft — @ 21.02.2002 13:59

Компания Microsoft выпустила седьмой по счету в этом году информационный бюллетень, предназначенный в первую очередь для администраторов баз данных, использующих ПО Microsoft SQL Server 7.0 и Microsoft SQL Server 2000. В документе сообщается о найденной новой лазейке в системе безопасности этих продуктов, а именно, что в функции удаленного доступа к данным присутствует неконтролируемый буфер. При грамотно составленной атаке, злоумышленник может вызвать переполнение буфера и получить доступ к базе данных, а в некоторых случаях и к самому серверу. Получив таким образом контроль над базой данных, у него появляется возможность правки или удаления ее записей. Если же удастся получить доступ к серверу, то становятся доступными возможности конфигурирования ОС, установки и удаления ПО или даже уничтожения всей информации путем форматирования жестких дисков.

В этом же документе сообщается о решении данной проблемы - приводятся линки, на срочно выпущенные обновления для SQL Server 7.0 и SQL Server 2000:

SQL Server 7.0 Security Update for Service Pack 3 (Q318268) - кумулятивное обновление системы безопасности от 20 февраля, включающее в себя решение вышеописанной проблемы и аналогичной проблемы в функциях форматирования. Файл для скачивания - здесь.
SQL Server 2000 Security Update for Service Pack 2 (Q316333) - также кумулятивный патч, в который включено предыдущее обновление, решающее проблему несанкционированного доступа к xp_cmdshell. Файл для скачивания находится здесь.

Источник: Microsoft TechNet

[ Поиск ] [ Архив ]