SQL w zagrożeniu
- Arkadiusz Piasek,
- 27.12.2001, godz. 10:28
Microsoft poinformował o luce w systemie zabezpieczeń SQL Server 2000 oraz SQL Server 7.0.
Microsoft poinformował o błędach w systemie zabezpieczeń SQL Server 2000 oraz SQL Server 7.0. Przedstawiciele koncernu utrzymują, ze że zagrożenie, jakie niosą ze sobą wykryte klika dni temu luki jest "niskie w przypadku SQL Server 7.0 i umiarkowane w SQL Server 2000".
W obu przypadkach problemy dotyczą mechanizmów związanych z generowaniem i wyświetlaniem komunikatów tekstowych związanych z realizacją zapytań SQL. Produkty z serii SQL Server 2000 nie potrafią ograniczyć objętości tekstu do wielkości zarezerwowanej w tym celu przez system. Może to spowodować wystąpienie znanego błędu przepełnienia bufora, który z kolei umożliwia nieautoryzowanym użytkownikom przejęcie kontroli nad systemem.
Zobacz również:
SQL Server 7.0 i 2000 maja również problemy z korzystaniem funkcji formatowania ciągów i modułu "C runtime", działając pod kontrolą systemów Windows NT 4.0, 2000 lub XP. W tym przypadku umiejętnie wykorzystana przez hakera luka może w ogromnym stopniu zwiększyć podatność serwera na ataki typu Denial of Service.
Microsoft zaleca wszystkim administratorom baz danych niezwłoczne zainstalowanie "patcha" usuwającego pierwszą usterkę. Update do SQL Server usuwający błąd związany z formatowaniem tekstu nie został jeszcze wystarczająco dobrze przetestowany, dlatego też jego instalacja zalecana jest tylko w przypadku baz danych obciążonych dużym ryzykiem włamania. Administratorzy pozostałych baz powinni poczekać na udostępnienie kolejnego Service Packa dla SQL Server, twierdzą przedstawiciele koncernu.