Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Desbordamiento de búfer remoto en SQL Server 2000

Desbordamiento de búfer remoto en SQL Server 2000

Por Leave a Comment

Se ha descubierto un desbordamiento de búfer en el servidor de bases de
datos de Microsoft SQL Server 2000, en la función OpenDataSource cuando
se combina con MS Jet Engine.
Mediante la construcción de una consulta SQL específica y usando la
función OpenDataSource un atacante remoto podrá provocar un
desbordamiento de búfer de forma que consiga el control del sistema.
Por defecto, el servidor SQL Server 2000 se instala con privilegios del
sistema, por lo que cualquier código introducido por el atacante se
ejecutará sin ninguna limitación.

Debemos hacer hincapié en que esto puede ser lanzado a través de una
aplicación web si es vulnerable a la inyección SQL, lo que quiere decir
que aunque no pueda conseguirse el acceso directo al servidor SQL desde
Internet esto signifique que sea seguro. Todos los sistemas que ejecuten
SQL Server deberán verificar la actualización de sus servidores.

Microsoft recomienda a los usuarios la actualización de la versión de
Jet (publicada el 14 de mayo de 2002) que puede descargarse desde:
http://www.microsoft.com/windows2000/downloads/recommended/q282010/default.asp

Antonio Ropero
antonior@hispasec.com

Más información:

OpenDataSource Buffer Overflow
http://www.nextgenss.com/advisories/mssql-ods.txt

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.