Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2002 > CERT-FI haavoittuvuustiedote 042/2002

CERT-FI haavoittuvuustiedote 042/2002

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

11.7.2002

Useita haavoittuvuuksia Microsoft SQL -ohjelmistoissa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyväksikäyttö: - käyttövaltuuksien laajentaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft SQL -ohjelmistoista on löydetty neljä uutta haavoittuvuutta, joista kaksi ensimmäistä liittyy puskurin ylivuoto-ongelmiin. Kolmas haavoittuvuus liittyy Microsoft SQL -ohjelmiston rekisteriavaimelle myönnettyihin liian avoimiin oikeuksiin. Neljäs haavoittuvuus liittyy Microsoft SQL -ohjelmiston asennuksessa tapahtuvaan salasanojen tallennukseen. Kahta ensimmäistä haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista saada SQL-tietokanta ja itse palvelin haltuunsa. Kolmatta haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista saavuttaa kohdetietojärjestelmässä suuremmat oikeudet, mitkä hänelle normaalista kuuluisivat, ja tätä kautta saavuttaa jopa kohdetietojärjestelmän ylläpitäjän oikeudet. Neljättä haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista saada haltuunsa Microsoft SQL -ohjelmiston salasanoja.

HAAVOITTUVAT OHJELMISTOT:

Kolmelle ensimmäiselle haavoittuvuudelle alttiita tietojärjestelmiä ovat:

  • Microsoft SQL Server 2000 sekä MSDE 2000.

Neljännelle haavoittuvuudelle alttiita tietojärjestelmiä ovat:

  • Microsoft SQL Server 7.0 (mukaanluettuna MSDE 1.0), SQL Server 2000 tai ne tietojärjestelmät joihin on asennettu Microsoft SQL Server 7.0 tai SQL Server 2000 sekä Service Pack.

Lisätietoa haavoittuvista tietojärjestelmistä ja haavoittuvuuksia rajaavista tekijöistä saa osoitteesta:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-035.asp/

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla. Kolmeen ensimmäiseen haavoittuvuuteen liittyvä korjaustiedosto on saatavissa osoitteesta:

http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333/

(Korjaustiedosto korjaa myös aikaisemmat Microsoft SQL Server 2000 -ohjelmiston haavoittuvuudet)

Neljänteen haavoittuvuuteen liittyvä korjaustiedoston on saatavissa osoitteesta:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40205/

LISÄTIETOA:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/default.asp/

PÄIVITYSHISTORIA:

11.07.2002: Julkaistu
Sivua päivitetty 22.08.2007   Tulostusversio Tulostusversio