You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-854

[MS/SQL] Pufferüberlaufschwachstelle in pwdencrypt-Prozedur
(2002-06-21 15:43:18.085437+00) Druckversion

Quelle: http://cert.Uni-Stuttgart.DE/archive/bugtraq/2002/06/msg00161.html

Die pwdencrypt-Prozedur des Microsoft SQL Server 2000 weist eine Pufferüberlaufschwachstelle auf, durch die authentifizierte Benutzer möglicherweise beliebigen Programmcode ausführen können.

Betroffene Systeme

  • Microsoft SQL Server 2000

Einfallstor

  • direkte SQL-Anfrage über eine Netzwerkverbindung, normalerweise ist eine Authentifizierung notwendig
  • Parameterübergabe bei anwendungsspezifischen Aufrufen dieser Prozedur (z.B. durch ein Webfrontend)

Auswirkung

  • Ausführung beliebigen Programmcodes über eine Netzwerkverbindung. Der Programmcode würde dabei mit den Privilegien des SQL-Servers, standardmäßig sind dies Domänenbenutzer-Privilegien, ausgeführt.
  • Denial of Service (DoS)

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis sehr hoch (insbesondere falls keine Authentifzierung notwendig sein sollte und der SQL-Prozess mit SYSTEM-Privilegien ausgeführt wird)
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die pwdencrypt-Prozedur des SQL-Servers weist eine Pufferüberlaufschwachstelle auf. Authentifizierte Benutzer können diese Schwachstelle zu einem Denial of Service bzw. unter Umständen zur Ausführung beliebigen Programmcodes auf dem SQL-Server ausnutzen. Der Programmcode würde dabei mit den Privilegien des SQL-Servers, standardmäßig sind dies Domänenbenutzer-Privilegien, ausgeführt.

Gegenmaßnahmen
Patches liegen bislang nicht vor.

Herstellerstatus
Microsoft wurde informiert.

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.