Abo
  • Services:

Microsoft bringt mehrere Patches für SQL-Server 2000

Bugfixes stopfen insgesamt sechs Sicherheitslecks im SQL-Server 2000

Microsoft veröffentlichte zwei Security Bulletins, in denen sechs neu entdeckte Sicherheitslücken für den SQL-Server 2000 beschrieben werden. Drei der Sicherheitslöcher bewertet Microsoft nur als moderates und sogar geringes Risiko, während die übrigen drei Lücken als kritisch eingestuft werden. Für alle Lecks bietet Microsoft ab sofort passende Patches an.

Artikel veröffentlicht am ,

Allein drei Sicherheitslecks stecken in der Funktion, mehrere SQL-Server als separate Instanz auf einer Maschine laufen zu lassen. Nicht alle laufenden Instanzen können den Standard Session-Port des SQL-Server (TCP 1433) verwenden, so dass die übrigen Instanzen einem anderen Port zugewiesen werden müssen. Der Resolution-Service bietet einen Weg für Clients, nach dem passenden Network Endpoint zu fragen, um diesen für eine bestimmte Server-Instance zu verwenden.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Durch das Senden eines modifizierten Datenpakets an den Resolution-Service kann sich ein Angreifer über einen Buffer Overrun System-Speicher schnappen und diesen mit Daten überschreiben. Werden dazu nur beliebige Daten verwendet, führt das zu einer Fehlfunktion des Service. Verwendet der Angreifer hingegen ganz gezielt bestimmte Daten, kann dieser auch beliebigen Programmcode in der Sicherheitszone des Dienstes ausführen.

Ein drittes Sicherheitsleck steckt in dem Mechanismus, um zwischen aktiven und passiven Instanzen zu unterscheiden und erlaubt eine Denial-of-Service-Attacke. Ein Angreifer kann ein keep-alive-Paket an den Resolution-Service senden, so dass dieser mit den gleichen Informationen antwortet. Dabei gaukelt man dem SQL-Server vor, das Datenpaket stamme von einem anderen SQL-Server, so dass dieser es zu einem benachbarten SQL-Server sendet. Dadurch würden beide Systeme ständig Daten austauschen, was das System verlangsamt und womöglich ganz in die Knie zwingt.

Einen Patch gegen diese drei Sicherheitslücken im SQL-Server 2000 stellt Microsoft ab sofort als Download bereit.

Eine weitere Sicherheitslücke steckt in den Kommandozeilen-Utilities Database Consistency Checkers (DBCCs), in denen ein Buffer Overrun dazu führen kann, dass ein Angreifer beliebigen Programmcode im Bereich der SQL-Server-Dienste ausführen und die komplette Kontrolle über sämtliche Datenbanken auf dem Server erlangen kann. Dazu muss der Angreifer aber Administrationsrechte besitzen oder als db_owner respektive db_ddladmin eingeloggt sein, was die Gefahr eines Eindringens stark verringert, beteuert Microsoft und stuft das Risiko als moderat ein.

Zwei weitere Sicherheitslücken betreffen zwei Routinen zur Duplizierung einer Datenbank, wovon eine nur von Nutzern mit den Rechten db_owner verwendet werden kann, während die andere auf Grund fehlerhafter Zugriffsrechte von jedem Anwender ausgenutzt werden kann, der sich interaktiv auf den Server anmelden kann. Durch die beiden Sicherheitslecks kann ein Angreifer dann beliebige Betriebssystem-Kommandos auf dem Server ausführen. Hier stuft Microsoft das Risiko sogar als gering ein.

Ein Patch gegen die drei weiteren Sicherheitslecks im SQL-Server 2000 steht ab sofort zum Download bereit. Der SQL-Server 7 wurde von Microsoft auch überprüft, sei aber davon nicht betroffen.



Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Folgen Sie uns
       


Der Güterzug der Zukunft - Bericht

Auf der Innotrans 2018 haben Verkehrsforscher des Deutschen Zentrums für Luft- und Raumfahrt ein Konzept für den Güterzug der Zukunft vorgestellt.

Der Güterzug der Zukunft - Bericht Video aufrufen
Red Dead Online angespielt: Schweigsam auf der Schindmähre
Red Dead Online angespielt
Schweigsam auf der Schindmähre

Der Multiplayermodus von Red Dead Redemption 2 schickt uns als ehemaligen Strafgefangenen in den offenen Wilden Westen. Golem.de hat den handlungsgetriebenen Einstieg angespielt - und einen ersten Onlineüberfall gemeinsam mit anderen Banditen unternommen.

  1. Spielbalance Updates für Red Dead Online und Battlefield 5 angekündigt
  2. Rockstar Games Red Dead Redemption 2 geht schrittweise online
  3. Games US-Spielemarkt erreicht Rekordumsätze

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

Mars Insight: Nasa hofft auf Langeweile auf dem Mars
Mars Insight
Nasa hofft auf Langeweile auf dem Mars

Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

  1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  2. Mars Die Nasa gibt den Rover nicht auf
  3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

    •  /