Microsoft publica una nueva actualización para sus servidores de bases
de datos SQL Server 7.0 y SQL Server 2000 y los motores Microsoft Data
Engine (MSDE) 1.0, Microsoft Desktop Engine (MSDE) 2000.
Esta actualización tiene la característica de ser acumulativa, es
decir, elimina todos los problemas conocidos hasta la fecha y cubre
cuatro nuevas vulnerabilidades.
La primera de ellas consiste en un desbordamiento de búfer en la
sección de código de SQL Server 2000 (y MSDE 2000) asociada con la
autenticación de usuario. Un atacante que consiga explotar esta
vulnerabilidad podrá llegar a ejecutar el código que desee en el
servidor.
También se produce un desbordamiento de búfer en uno de los Database
Console Commands (DBCCs) que se incluyen como parte de SQL Server 7.0
y 2000. El caso más grave permitirá al atacante la ejecución de código
en el contexto de seguridad del servicio SQL Server y tomar el control
sobre todas las bases de datos del servidor.
Existe otra vulnerabilidad asociada con los trabajos programados en
SQL Server 7.0 y 2000 ya que se permite a usuarios sin privilegios
crear trabajos programados que serán ejecutados por el agente SQL
Server. Por último la actualización también cambia la forma de trabajo
de SQL Server para prevenir que usuarios no autorizados ejecuten
consultas ad hoc contra fuentes de datos no SQL OLEDB.
Las actualizaciones pueden descargarse desde:
Microsoft SQL Server 7.0:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q327068&sd=tech
Microsoft SQL Server 2000:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333&sd=tech
antonior@hispasec.com
Más información:
Cumulative Patch for SQL Server:
http://www.microsoft.com/technet/security/bulletin/ms02-056.asp
Deja una respuesta