Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-910

[MS/SQL Server,MDAC] Pufferüberlaufschwachstelle in Microsoft Data Access Components
(2002-08-01 09:39:36.323568+00)

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/08/msg00000.html

Die Microsoft Data Access Components (MDAC) weisen eine Pufferüberlaufschwachstelle in der Transact-SQL (T-SQL)-Komponente auf. Bei SQL-Servern kann diese Schwachstelle zur Ausführung beliebigen Programmcode mit den Privilegien des SQL-Servers ausgenutzt werden.

Betroffene Systeme

Frühere Versionen von MDAC werden von Microsoft nicht mehr unterstützt und auch nicht mehr auf etwaige Schwachstellen getestet.

Einfallstor

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des SQL-Servers, standardmäßig sind dies Domänenbenutzer-Privilegien.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Bei den Microsoft Data Access Components (MDAC) handelt es sich um eine Sammlung von Komponenten, um Datenbankverbindungen auf Windows-Plattformen zu nutzen.

Beschreibung
Die Microsoft Data Access Components (MDAC) weisen eine Pufferüberlaufschwachstelle in der Transact-SQL (T-SQL)-Komponente auf. T-SQL ist die Sprache, in der Microsoft SQL-Server Datenbankinformationen anfragen und Änderungen vornehmen. Obwohl die verwundbare Komponente mit zahlreichen Microsoft-Produkten ausgeliefert wird, stellt sie lediglich auf SQL-Servern eine Bedrohung dar. Angreifer, die eine Datenbankanfrage durchführen können, sind bei SQL-Servern mit der verwundbaren MDAC-Komponente in der Lage, beliebigen Programmcode mit den Privilegien des SQL-Servers auszuführen.

Feststellen der Verwundbarkeit
Gefährdet sich lediglich Systeme mit einem SQL-Server. Die installierte MDAC-Version könnnen sie wie folgt ermitteln:

Gegenmaßnahmen
Microsoft stellt Patches zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=910