Microsoft повідомила про серйозну уразливість у SQL Server
19:21 21.01.2009Лише через декілька днів після виходу патча для Internet Explorer (у грудні), Microsoft сповістила користувачів про серйозну помилку в SQL Server. За даними компанії, уразливість може бути використана для віддаленого запуску на виконання довільного коду в Microsoft SQL Server 2000 і SQL Server 2005. Попередження стало наслідком публічного розкриття уразливості, її код вже опублікований у вільному доступі.
Поки Microsoft не помітила випадків використання експлоіта в онлайнових атаках, що є лише справою часу. Для кінцевої атаки бази даних необхідний вхід у систему і залучення місцевих веб-додатків, що містять SQL-ін’єкції.
В особливих випадках можуть бути атаковані Microsoft SQL Server 2000 Desktop Engine чи SQL Server 2005 Express. Помилка міститься в процедурі “sp_replwritetovarbin”, що використовується при транзакції в базі даних. Єдині, хто на 100% захищений від нападу - власники Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 і Microsoft SQL Server 2008. За останній час це третя серйозна уразливість, хоча фахівці безпеки не вважають, що вона одержить широке поширення.
По матеріалам http://news.techlabs.by.
