Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-733

[MS/SQL Server] DoS-Angriff durch Pufferüberlauf-Schwachstelle - Update
(2002-03-07 15:53:57+00)

Quelle: http://cert.Uni-Stuttgart.DE/archive/vuln-dev/2002/03/msg00045.html

Die xp_dirtree-Funktion des Microsoft SQL-Servers weist eine Pufferüberlauf-Schwachstelle auf.

Betroffene Systeme

Einfallstor

Auswirkung
Denial of Service (DoS) Angriff, möglicherweise ist auch die Ausführung von beliebigem Programmcode möglich. Der Programmcode würde mit den Privilegien des SQL-Servers, standardmässig sind dies Domänen Benutzer-Privilegien, ausgeführt.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die extended stored procedure (XP) xp_dirtree des Microsoft SQL-Servers weist eine Pufferüberlauf-Schwachstelle auf. Ein Angreifer kann mittels xp_dirtree N'XXXXXX...' (Unicode) die Nichtverfügbarkeit des SQL-Servers herbeiführen und unter umständen beliebigen Programmcode mit den Privilegien des SQL-Servers auf dem beherbergenden System ausführen. Möglicherweise ist der Angriff über eine Netzwerkverbindung ohne Authentifizierung am SQL-Server möglich.

Diese Schwachstelle steht unter Umständen mit früheren Verwundbarkeiten in der srv_paraminfo()-Funktion in Verbindung.

Workaround

Gegenmaßnahmen
Bislang liegt keine Reaktion vor Microsoft vor.

Weitere Information zu diesem Thema

Revisionen:

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=733