Abo
  • Services:

Microsoft bringt mehrere Patches für SQL-Server 2000

Bugfixes stopfen insgesamt sechs Sicherheitslecks im SQL-Server 2000

Microsoft veröffentlichte zwei Security Bulletins, in denen sechs neu entdeckte Sicherheitslücken für den SQL-Server 2000 beschrieben werden. Drei der Sicherheitslöcher bewertet Microsoft nur als moderates und sogar geringes Risiko, während die übrigen drei Lücken als kritisch eingestuft werden. Für alle Lecks bietet Microsoft ab sofort passende Patches an.

Artikel veröffentlicht am ,

Allein drei Sicherheitslecks stecken in der Funktion, mehrere SQL-Server als separate Instanz auf einer Maschine laufen zu lassen. Nicht alle laufenden Instanzen können den Standard Session-Port des SQL-Server (TCP 1433) verwenden, so dass die übrigen Instanzen einem anderen Port zugewiesen werden müssen. Der Resolution-Service bietet einen Weg für Clients, nach dem passenden Network Endpoint zu fragen, um diesen für eine bestimmte Server-Instance zu verwenden.

Stellenmarkt
  1. Die Haftpflichtkasse VVaG, Roßdorf
  2. SICK AG, Waldkirch bei Freiburg im Breisgau

Durch das Senden eines modifizierten Datenpakets an den Resolution-Service kann sich ein Angreifer über einen Buffer Overrun System-Speicher schnappen und diesen mit Daten überschreiben. Werden dazu nur beliebige Daten verwendet, führt das zu einer Fehlfunktion des Service. Verwendet der Angreifer hingegen ganz gezielt bestimmte Daten, kann dieser auch beliebigen Programmcode in der Sicherheitszone des Dienstes ausführen.

Ein drittes Sicherheitsleck steckt in dem Mechanismus, um zwischen aktiven und passiven Instanzen zu unterscheiden und erlaubt eine Denial-of-Service-Attacke. Ein Angreifer kann ein keep-alive-Paket an den Resolution-Service senden, so dass dieser mit den gleichen Informationen antwortet. Dabei gaukelt man dem SQL-Server vor, das Datenpaket stamme von einem anderen SQL-Server, so dass dieser es zu einem benachbarten SQL-Server sendet. Dadurch würden beide Systeme ständig Daten austauschen, was das System verlangsamt und womöglich ganz in die Knie zwingt.

Einen Patch gegen diese drei Sicherheitslücken im SQL-Server 2000 stellt Microsoft ab sofort als Download bereit.

Eine weitere Sicherheitslücke steckt in den Kommandozeilen-Utilities Database Consistency Checkers (DBCCs), in denen ein Buffer Overrun dazu führen kann, dass ein Angreifer beliebigen Programmcode im Bereich der SQL-Server-Dienste ausführen und die komplette Kontrolle über sämtliche Datenbanken auf dem Server erlangen kann. Dazu muss der Angreifer aber Administrationsrechte besitzen oder als db_owner respektive db_ddladmin eingeloggt sein, was die Gefahr eines Eindringens stark verringert, beteuert Microsoft und stuft das Risiko als moderat ein.

Zwei weitere Sicherheitslücken betreffen zwei Routinen zur Duplizierung einer Datenbank, wovon eine nur von Nutzern mit den Rechten db_owner verwendet werden kann, während die andere auf Grund fehlerhafter Zugriffsrechte von jedem Anwender ausgenutzt werden kann, der sich interaktiv auf den Server anmelden kann. Durch die beiden Sicherheitslecks kann ein Angreifer dann beliebige Betriebssystem-Kommandos auf dem Server ausführen. Hier stuft Microsoft das Risiko sogar als gering ein.

Ein Patch gegen die drei weiteren Sicherheitslecks im SQL-Server 2000 steht ab sofort zum Download bereit. Der SQL-Server 7 wurde von Microsoft auch überprüft, sei aber davon nicht betroffen.



Anzeige
Top-Angebote
  1. 104,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt oder 25€ Rabatt bei...
  2. (u. a. HTC U Ultra für 199€ statt 249,95€ im Vergleich)
  3. 239,90€ + 5,99€ Versand oder versandkostenfrei bei Zahlung mit paydirekt oder 25€ Rabatt bei...

Folgen Sie uns
       


Sonnet eGFX Box 650W - Test

Die eGFX Box von Sonnet hat 650 Watt und ist ein externes Grafikkarten-Gehäuse. Sie funktioniert mit AMDs Radeon RX Vega 64 und wird per Thunderbolt 3 an ein Notebook angeschlossen. Der Lüfter und das Netzteil sind vergleichsweise leise, der Preis fällt mit 450 Euro recht hoch aus.

Sonnet eGFX Box 650W - Test Video aufrufen
Youtube Music, Deezer und Amazon Music: Musikstreaming buchen ist auf dem iPhone teurer
Youtube Music, Deezer und Amazon Music
Musikstreaming buchen ist auf dem iPhone teurer

Wer seinen Musikstreamingdienst auf einem iPhone oder iPad bucht, muss oftmals mehr bezahlen als andere Kunden. Der Grund liegt darin, dass Apple - außer bei eigenen Diensten - einen Aufschlag von 30 Prozent behält. Spotify hat Konsequenzen gezogen.
Ein Bericht von Ingo Pakalski

  1. Filme und Serien Nutzung von kostenpflichtigem Streaming steigt stark an
  2. Highend-PC-Streaming Man kann sogar die Grafikkarte deaktivieren
  3. Golem.de-Livestream Halbgott oder Despot?

Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Esa: Sonnensystemforschung ohne Plutonium
Esa
Sonnensystemforschung ohne Plutonium

Forscher der Esa arbeiten an Radioisotopenbatterien, die ohne das knappe und aufwendig herzustellende Plutonium-238 auskommen. Stattdessen soll Americium-241 aus abgebrannten Brennstäben von Kernkraftwerken zum Einsatz kommen. Ein erster Prototyp ist bereits fertig.
Von Frank Wunderlich-Pfeiffer

  1. Jaxa Japanische Sonde Hayabusa 2 erreicht den Asteroiden Ryugu
  2. Mission Horizons @Astro_Alex fliegt wieder
  3. Raumfahrt China lädt die Welt zur neuen Raumstation ein

    •  /