Abo
  • Services:

Microsoft bringt mehrere Patches für SQL-Server 2000

Bugfixes stopfen insgesamt sechs Sicherheitslecks im SQL-Server 2000

Microsoft veröffentlichte zwei Security Bulletins, in denen sechs neu entdeckte Sicherheitslücken für den SQL-Server 2000 beschrieben werden. Drei der Sicherheitslöcher bewertet Microsoft nur als moderates und sogar geringes Risiko, während die übrigen drei Lücken als kritisch eingestuft werden. Für alle Lecks bietet Microsoft ab sofort passende Patches an.

Artikel veröffentlicht am ,

Allein drei Sicherheitslecks stecken in der Funktion, mehrere SQL-Server als separate Instanz auf einer Maschine laufen zu lassen. Nicht alle laufenden Instanzen können den Standard Session-Port des SQL-Server (TCP 1433) verwenden, so dass die übrigen Instanzen einem anderen Port zugewiesen werden müssen. Der Resolution-Service bietet einen Weg für Clients, nach dem passenden Network Endpoint zu fragen, um diesen für eine bestimmte Server-Instance zu verwenden.

Stellenmarkt
  1. Bosch Gruppe, Reutlingen
  2. Wüstenrot & Württembergische AG, Ludwigsburg

Durch das Senden eines modifizierten Datenpakets an den Resolution-Service kann sich ein Angreifer über einen Buffer Overrun System-Speicher schnappen und diesen mit Daten überschreiben. Werden dazu nur beliebige Daten verwendet, führt das zu einer Fehlfunktion des Service. Verwendet der Angreifer hingegen ganz gezielt bestimmte Daten, kann dieser auch beliebigen Programmcode in der Sicherheitszone des Dienstes ausführen.

Ein drittes Sicherheitsleck steckt in dem Mechanismus, um zwischen aktiven und passiven Instanzen zu unterscheiden und erlaubt eine Denial-of-Service-Attacke. Ein Angreifer kann ein keep-alive-Paket an den Resolution-Service senden, so dass dieser mit den gleichen Informationen antwortet. Dabei gaukelt man dem SQL-Server vor, das Datenpaket stamme von einem anderen SQL-Server, so dass dieser es zu einem benachbarten SQL-Server sendet. Dadurch würden beide Systeme ständig Daten austauschen, was das System verlangsamt und womöglich ganz in die Knie zwingt.

Einen Patch gegen diese drei Sicherheitslücken im SQL-Server 2000 stellt Microsoft ab sofort als Download bereit.

Eine weitere Sicherheitslücke steckt in den Kommandozeilen-Utilities Database Consistency Checkers (DBCCs), in denen ein Buffer Overrun dazu führen kann, dass ein Angreifer beliebigen Programmcode im Bereich der SQL-Server-Dienste ausführen und die komplette Kontrolle über sämtliche Datenbanken auf dem Server erlangen kann. Dazu muss der Angreifer aber Administrationsrechte besitzen oder als db_owner respektive db_ddladmin eingeloggt sein, was die Gefahr eines Eindringens stark verringert, beteuert Microsoft und stuft das Risiko als moderat ein.

Zwei weitere Sicherheitslücken betreffen zwei Routinen zur Duplizierung einer Datenbank, wovon eine nur von Nutzern mit den Rechten db_owner verwendet werden kann, während die andere auf Grund fehlerhafter Zugriffsrechte von jedem Anwender ausgenutzt werden kann, der sich interaktiv auf den Server anmelden kann. Durch die beiden Sicherheitslecks kann ein Angreifer dann beliebige Betriebssystem-Kommandos auf dem Server ausführen. Hier stuft Microsoft das Risiko sogar als gering ein.

Ein Patch gegen die drei weiteren Sicherheitslecks im SQL-Server 2000 steht ab sofort zum Download bereit. Der SQL-Server 7 wurde von Microsoft auch überprüft, sei aber davon nicht betroffen.



Anzeige
Hardware-Angebote
  1. 149€ (Bestpreis!)
  2. 309€ + Versand mit Gutschein: RYZEN20 (Bestpreis!)
  3. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)

Folgen Sie uns
       


Casio WSD-F30 - Hands on (Ifa 2018)

Die WSD-F30 von Casio ist eine Smartwatch, die sich besonders gut fürs Wandern eignen soll. Sie zeigt verschiedene Messwerte an - auch auf einem zweiten LC-Display.

Casio WSD-F30 - Hands on (Ifa 2018) Video aufrufen
Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Sky Ticket mit TV Stick im Test: Sky kann's gut, Netflix und Amazon können es besser
    Sky Ticket mit TV Stick im Test
    Sky kann's gut, Netflix und Amazon können es besser

    Gute Inhalte, aber grauenhafte Bedienung: So war Sky Ticket bisher. Die neue Version macht vieles besser, und mit dem Sky Ticket Stick lässt sich der Pay-TV-Sender kostengünstig auf den Fernseher bringen. Besser geht es aber immer noch.
    Ein Test von Ingo Pakalski

    1. Videostreaming Wiederholte Sky-Ausfälle verärgern Kunden
    2. Sky Ticket TV Stick Sky verteilt Streamingstick de facto kostenlos
    3. Videostreaming Neues Sky Ticket für Android und iOS verspätet sich

      •  /