Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2002 > CERT-FI haavoittuvuustiedote 067/2002

CERT-FI haavoittuvuustiedote 067/2002

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

3.10.2002

Useita haavoittuvuuksia Microsoft SQL Server –ohjelmistoissa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- käyttövaltuuksien laajentaminen
- luottamuksellisen tiedon hankkiminen
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft SQL Server –ohjelmistoista on löydetty seuraavat uudet haavoittuvuudet:

Puskuriylivuoto käyttäjän todennuksessa SQL Server 2000 –ohjelmistossa. Haavoittuvuutta voidaan hyväksikäyttää lähettämällä kohdejärjestelmään tietyntyyppinen sisäänkirjautumispyytö, mikä aiheuttaa muistin ylikirjoittautumisen kohdepalvelimessa. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi mahdollisesti suorittaa omia komentoja kohdetietojärjestelmässä.

Puskuriylivuotohaavoittuvuus SQL Server 7.0 ja 2000 –ohjelmistojen eräässä DBCC (Database Console Commands) –komennossa. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa omia komentoja kohdetietojärjestelmässä ja ottaa kohdejärjestelmän tietokannat haltuunsa.

Haavoittuvuus SQL Server 7.0 ja 2000 –ohjelmistojen SQL Server Agent:n käyttäjänoikeutuksessa. Käyttäjä voi ylittää käyttöoikeutensa antamalla tiettyjä tehtäviä SQL Server Agent:lle; Käyttöoikeudet ylitetään, kun nämä tehtävät suoritetaankin SQL Server Agent:n käyttöoikeuksilla. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi esimerkiksi ylikirjoittaa kohdejärjestelmän systeemitiedostoja.

Haavoittuvuuksien Microsoft-vakavuusluokitus on Critical.

HAAVOITTUVAT OHJELMISTOT:

Microsoft SQL Server 7.0 ja 2000 –ohjelmistot

Microsoft Data Engine (MSDE) 1.0 ja Microsoft Desktop Engine (MSDE) 2000 –ohjelmistot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmistot Microsoft-turvallisuustiedotteen MS02-056 –ohjeiden mukaisesti.

Korjaustiedostot ovat ladattavissa seuraavista osoitteista:

Microsoft SQL Server 7.0:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q327068&sd=tech

Microsoft SQL Server 2000:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333&sd=tech

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/MS02-056.asp

PÄIVITYSHISTORIA:

03.10.2002: Julkaistu
Sivua päivitetty 20.08.2007   Tulostusversio Tulostusversio