Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2002 > CERT-FI haavoittuvuustiedote 044/2002

CERT-FI haavoittuvuustiedote 044/2002

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

25.7.2002

Useita haavoittuvuuksia Microsoft SQL Server 2000 –ohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
- tietojen muokkaaminen
- luottamuksellisen tiedon hankkiminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
- ongelman rajoittaminen
Lisätietoja

Microsoft on julkaissut turvallisuustiedotteet MS02-038 ja MS02-039, jotka kuvaavat useita eri haavoittuvuuksia Microsoft SQL Server 2000 –ohjelmistossa.

· Puskuriylivuotohaavoittuvuus tietokannan eheyden tarkistustyökaluissa (Database Consistency Chekers, DBCC). DBCC-työkalut ovat ohjelmiston mukana toimitettavia konsolipohjaisia ohjelmia, joilla tehdään huoltotoimenpiteitä. Haavoittuvuus mahdollistaa pahimmassa tapauksessa hyökkääjälle tietokantapalvelimen tietokantojen täydellisen hallinnan (MS02-038, Microsoft-vakavuusluokitus Moderate)

· SQL-inkektio -haavoittuvuus joka mahdollistaa erityisissä olosuhteissa hyökkääjälle käyttöjärjestelmäkomentojen suorittamisen palvelimella (MS02-038, Microsoft-vakavuusluokitus Low)

· Puskuriylivuotohaavoittuvuuksia ja palvelunestohyökkäykselle altistava haavoittuvuus SQL Server Resolution Service –palvelussa. Resolution Service –palvelu osoittaa SQL-asiakasohjelmalle oikeat verkkorajapintaosoitteet, jos palvelimella toimii useita SQL-palvelinohjelmistoja samanaikaisesti. (MS02-039, Microsoft-vakavuusluokitus Critical)

HAAVOITTUVAT OHJELMISTOT:

Microsoft SQL Server 2000 (kaikki mainitut haavoittuvuudet)
Microsoft Desktop Engine (MSDE) 2000 (DBCC ja SQL-injektio –haavoittuvuudet)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

· Päivitä ohjelmistot Microsoft-turvallisuustiedotteiden MS02-038 ja MS02-039 –ohjeiden mukaisesti

· SQL Server Resolution Service –haavoittuvuutta voidaan rajoittaa jos pääsy palvelimen TCP-porttiin 1434 voidaan estää palomuurissa. Rajoitusmahdollisuus riippuu sovellustoteutuksesta.

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS02-038.asp
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

PÄIVITYSHISTORIA:

25.07.2002: Julkaistu
 Kommentoi 
Sivua päivitetty 22.08.2007   Tulostusversio Tulostusversio