Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Drei Sicherheitslöcher in SQL-Server und Data Engine

Sicherheitslecks erlauben Programmausführung. Im SQL-Server der Versionen 7.0 und 2000 sowie der Data Engine 1.0 entdeckte Microsoft drei neue Sicherheitslücken, die mit einem passenden Sammel-Patch behoben werden können. Die Sicherheitslecks erlauben es einem Angreifer unter anderem, beliebigen Programmcode auf dem Server auszuführen. Microsoft rät Systemadministratoren, den Patch schleunigst einzuspielen.
/ Ingo Pakalski
Kommentare News folgen (öffnet im neuen Fenster)

Zwei der drei Sicherheitslecks befinden sich in den so genannten Named Pipes, welche die Kommunikation zwischen Prozessen übernehmen. Die Überprüfung einer Named Pipe zwischen Server und Client enthält ein Sicherheitsloch, wodurch ein Angreifer die Kontrolle über einen Server erlangen kann, indem er eine Client-Server-Verbindung quasi entführt, um so beliebigen Programmcode auszuführen. Das zweite Named-Pipe-Leck kann lokal über eine Intranet-Verbindung ausgenutzt werden, um eine Denial-of-Service-Attacke auszulösen.

Die dritte Sicherheitslücke erlaubt es einem lokalen Nutzer über einen Buffer Overrun, die eigenen Zugriffsrechte auf die des SQL-Server-Service hochzuschrauben und mit diesen Rechten beliebigen Programmcode auf dem Server auszuführen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Microsoft bietet Sammel-Patches für den SQL Server 7.0, 2000 sowie die Data Engine 1.0 über das entsprechende Security Bulletin(öffnet im neuen Fenster) zum Download an. Der Sammel-Patch soll zudem frühere Sicherheitslecks stopfen.

Zur Startseite Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecuritySicherheitslückeUpdates & PatchesDatensicherheitSQL