Microsoft publica un parche acumulativo para SQL Server 7.0 y SQL Server
2000, que incluye todas las funcionalidades de los parches anteriormente
publicados para estos productos.
Además elimina una nueva vulnerabilidad de elevación de privilegios a
causa de algunos de los procedimientos almacenados extendidos incluidos
por defecto en estos sistemas y usados en algunas de las funciones de
ayuda. Estos procedimientos almacenados extendidos son rutinas externas
escritas en C o C# pero que reciben el mismo tratamiento que los
procedimientos almacenados habituales.
Algunos de los procedimientos almacenados extendidos incluidos por
defecto tienen la capacidad de conectar con la base de datos con la
cuenta del servicio SQL Server, pero debido a un fallo en la asignación
de permisos pueden llegar a ser ejecutados por usuarios sin privilegios.
Esto puede permitir a un atacante elevar sus privilegios o realizar
consultas no autorizadas, debido a que dichos procedimientos extendidos
pueden llegar a ejecutarse con permisos de administrador.
Microsoft publica este parche acumulativo en las direcciones:
Microsoft SQL Server 7.0
http://www.microsoft.com/Release.asp?ReleaseID=Q327068
Microsoft SQL Server 2000
http://www.microsoft.com/Release.asp?ReleaseID=Q316333
antonior@hispasec.com
Deja una respuesta