Drei Sicherheitslöcher in SQL-Server und Data Engine
Sicherheitslecks erlauben Programmausführung
Im SQL-Server der Versionen 7.0 und 2000 sowie der Data Engine 1.0 entdeckte Microsoft drei neue Sicherheitslücken, die mit einem passenden Sammel-Patch behoben werden können. Die Sicherheitslecks erlauben es einem Angreifer unter anderem, beliebigen Programmcode auf dem Server auszuführen. Microsoft rät Systemadministratoren, den Patch schleunigst einzuspielen.
Zwei der drei Sicherheitslecks befinden sich in den so genannten Named Pipes, welche die Kommunikation zwischen Prozessen übernehmen. Die Überprüfung einer Named Pipe zwischen Server und Client enthält ein Sicherheitsloch, wodurch ein Angreifer die Kontrolle über einen Server erlangen kann, indem er eine Client-Server-Verbindung quasi entführt, um so beliebigen Programmcode auszuführen. Das zweite Named-Pipe-Leck kann lokal über eine Intranet-Verbindung ausgenutzt werden, um eine Denial-of-Service-Attacke auszulösen.
Die dritte Sicherheitslücke erlaubt es einem lokalen Nutzer über einen Buffer Overrun, die eigenen Zugriffsrechte auf die des SQL-Server-Service hochzuschrauben und mit diesen Rechten beliebigen Programmcode auf dem Server auszuführen.
Microsoft bietet Sammel-Patches für den SQL Server 7.0, 2000 sowie die Data Engine 1.0 über das entsprechende Security Bulletin zum Download an. Der Sammel-Patch soll zudem frühere Sicherheitslecks stopfen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed






Man muss sich doch abreagieren... Man muss sich doch abreagieren... ;-)
Naa falsch. Vielmehr reagiert man stärker auf Sicherheitslöcher in denen der Name MS...
Oh wie süß! Wo hast Du dass denn rausgekriegt?
Jetzt mal unabhängig von dieser Nachricht: Fast täglich lese ich von irgendwelchen...