miércoles, 17 de julio de 2002

Nuevo parche para Microsoft SQL Server 2000

Microsoft publica un parche acumulativo para SQL Server 2000 que incluye
las funcionalidades de todos los parches publicados hasta la fecha.
Además este parche elimina tres nuevas vulnerabilidades que afectan a
SQL Server 2000 y MSDE 2000.

Una vulnerabilidad de desbordamiento de búfer en el procedimiento
empleado para cifrar la información de las contraseñas del servidor SQL.
Un atacante que consiga explotar esta vulnerabilidad de forma exitosa
podrá conseguir control sobre la base de datos e incluso sobre el
servidor.

Un desbordamiento de búfer en el procedimiento empleado para insertar
datos masivos ("bulk data") en tablas de SQL. Un atacante que consiga
explotar esta vulnerabilidad de forma exitosa podrá conseguir control
sobre la base de datos e incluso sobre el servidor.

Una vulnerabilidad de elevación de privilegios resultante de la
asignación incorrecta de permisos en la llave del registro que almacena
la información de las cuentas del servidor SQL. Un atacante que consiga
explotar esta vulnerabilidad podrá conseguir mayores privilegios en el
sistema.

Este parche puede descargarse desde


http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333



Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad Microsoft MS02-034:

Cumulative Patch for SQL Server


http://www.microsoft.com/technet/security/bulletin/MS02-034.asp