Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Nieszczelności w SQL Server

Nieszczelności w SQL Server

Dwie luki w systemie bezpieczeństwa bazy danych SQL Server mogą uczynić ten produkt otwartym na ataki DoS i umożliwić hakerowi uruchomienie własnego programu na serwerze. Łatki uszczelniające dostępne są na witrynie webowej Microsoftu.

Dwie luki w systemie bezpieczeństwa bazy danych SQL Server mogą uczynić ten produkt otwartym na ataki DoS i umożliwić hakerowi uruchomienie własnego programu na serwerze. Łatki uszczelniające dostępne są na witrynie webowej Microsoftu.

Problem dotyczy SQLServer 2000 i SQL Server 7.0, a związany jest ze sposobem, w jaki te dwie wersje tworzą i wyświetlają wiadomości tekstowe po wystawieniu kwerendy.

Zobacz również:

  • Asystent AI Copilot wkroczył do platformy Azure SQL Database
  • Ta technika rozwiązuje problem ograniczonej wielkości okien kontekstowych obsługujących modele językowe LLM

Pierwsza, bardziej poważna nieszczelność jest rezultatem błędu zawartego w funkcji generowania tekstu SQL Server, ograniczającej rozmiar tekstu do wielkości bufora przydzielonego przez system. Może to prowadzić do sytuacji znanej jako przepełnienie bufora, pozwalającej atakującemu na uruchomienie własnego programu na zaatakowanej maszynie. Rozmiar ewentualnych zniszczeń zależy od tego, jak administrator skonfigurował parametry ochrony w produkcie. W najgorszym dla nas scenariuszu atakujący może uzyskać znaczną kontrolę nad bazą danych, a także nad samym serwerem - może zmieniać , usuwać lub rozszerzać zawartość bazy danych, zmieniać konfigurację systemu operacyjnego, instalować nowe oprogramowanie itp.

Druga nieszczelność jest związana z funkcjami wykonawczymi (runtime) języka C formatującymi ciągi tekstowe w systemie operacyjnym Windows NT 4.0, Windows 2000 i Windows XP. Luka ta otwiera bazę danych na atak typu DoS. Funkcje wykonawcze języka C (C runtime) to zestaw programów wykonywalnych i plików zapewniających obsługę programów napisanych w języku C, dostępny na wszystkich platformach Windows. Nieszczelność występuje wtedy, gdy funkcja, która akceptuje tekst sformatowany do druku, niewłaściwie go sprawdza przed użyciem.

Microsoft rekomenduje zastosowanie łatek na pierwszą lukę dla wszystkich systemów eksploatujących SQL Server 7.0 i 2000. Jednakże łatka na drugą nieszczelność może być zastosowana w systemach zaliczanych do klasy wysokiego ryzyka ze względu na możliwość ataku, ponieważ sama wprowadza pewną niestabilność do systemu.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas