Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-42

[MS/SQL Server] Sicherheitslücke im Microsoft SQL Server
(2000-12-02 00:26:55+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2000/12/msg00024.html

Im Microsoft SQL Server existieren mehrere Buffer Overflow Bugs, die Angreifern mit Zugriff auf die Datenbank erlauben, beliebigen Code auf dem Serverhost auszuführen.

Betroffene Systeme

  • MS SQL Server 7.0 - alle service packs
  • MS SQL Server 2000
jeweils unter Microsoft Windows NT/2000

Beschreibung
Im Microsoft SQL Server werden zur Implementierung zusätzlicher SQL-Funktionalität sogenannte 'extended stored procedures' verwendet. Im @stake Advisory A120100-1 wird beschrieben, daß der Puffer einiger dieser Prozeduren überläuft, wenn ihnen ein entsprechend langer String als Parameter übergeben wird. Dies kann von einem Benutzer mit Zugriff auf die Datenbank ausgenutzt werden, um beliebige Kommandos auf dem Serverrechner auszuführen, was unter Umständen zur Kompromittierung des Rechners führen kann. Dies kann durch direkten Zugriff des Angreifers auf die Datenbank geschehen oder ggf. über einen Webserver, der die Datenbank abfragt.

Gefahrenpotential
hoch

Gegenmaßnahmen
Microsoft hat bereits einen Patch veröffentlicht, der dieses Problem behebt und empfiehlt dringend, diesen zu installieren:

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.