CERT-FI haavoittuvuustiedote 153/2008

23.12.2008

Microsoft SQL Server -ohjelmiston haavoittuvuus

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - tietojen muokkaaminen - luottamuksellisen tiedon hankkiminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Haavoittuvuus liittyy SQL Server -tietokantapalvelimen mukana tulevaan sp_replwritetovarbin-nimiseen tallennettuun proseduuriin (Extended Stored Procedure). Haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä. Haavoittuvuuden hyödyntäminen kuitenkin edellyttää, että hyökkääjällä on kelvollinen käyttäjätunnus ja salasana kohteena olevaan järjestelmään. Poikkeuksena tästä on palvelin, johon hyökkääjä on jo suorittanut onnistuneen SQL Injection -hyökkäyksen.

HAAVOITTUVAT OHJELMISTOT:

• Microsoft SQL Server 2000 (Service Pack 4)
• Microsoft SQL Server 2005 (Service Pack 2)

Microsoft SQL Server 7.0 (Service Pack 4), Microsoft SQL Server 2005 (Service Pack 3) ja Microsoft SQL Server 2008 eivät ole haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto korjattuun versioon ohjelmistovalmistajan ohjeen mukaisesti.

LISÄTIETOA:

• http://www.microsoft.com/technet/security/advisory/961040.mspx
• http://blogs.technet.com/swi/archive/2008/12/22/more-information-about-the-sql-stored-procedure-vulnerability.aspx
• http://blogs.technet.com/tietoturvan_weblogi/archive/2008/12/23/uusi-security-advisory-961040-haavoittuvuus-sql-server-tietokantapalvelimessa.aspx
• CVE-2008-5416
• http://go.microsoft.com/fwlink/?LinkId=139513
  

PÄIVITYSHISTORIA:

23.12.2008, kello 10.15: Julkaistu
23.12.2008, kello 11:00: Lisätietolinkki lisätty
23.12.2008, kello 13:10: Lisätietolinkki lisätty
23.12.2009, kello 13:06: Lisätty CVE-linkki ja tieto päivityksestä

Sivua päivitetty 23.12.2009

Tulostusversio