Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-42

[MS/SQL Server] Sicherheitslücke im Microsoft SQL Server
(2000-12-02 00:26:55+00)

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2000/12/msg00024.html

Im Microsoft SQL Server existieren mehrere Buffer Overflow Bugs, die Angreifern mit Zugriff auf die Datenbank erlauben, beliebigen Code auf dem Serverhost auszuführen.

Betroffene Systeme

jeweils unter Microsoft Windows NT/2000

Beschreibung
Im Microsoft SQL Server werden zur Implementierung zusätzlicher SQL-Funktionalität sogenannte 'extended stored procedures' verwendet. Im @stake Advisory A120100-1 wird beschrieben, daß der Puffer einiger dieser Prozeduren überläuft, wenn ihnen ein entsprechend langer String als Parameter übergeben wird. Dies kann von einem Benutzer mit Zugriff auf die Datenbank ausgenutzt werden, um beliebige Kommandos auf dem Serverrechner auszuführen, was unter Umständen zur Kompromittierung des Rechners führen kann. Dies kann durch direkten Zugriff des Angreifers auf die Datenbank geschehen oder ggf. über einen Webserver, der die Datenbank abfragt.

Gefahrenpotential
hoch

Gegenmaßnahmen
Microsoft hat bereits einen Patch veröffentlicht, der dieses Problem behebt und empfiehlt dringend, diesen zu installieren:

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=42