 |
|
 |
|
        | |
|
|
|||||
News
Events
Yellow Pages
Classifieds
TV/Video
Dating
Forum
Chat
Photos
|
|
 | |
| |
|
| |||||||||||||||||||||||||||||||
SoftNewsКумулятивный патч для MS SQL Server
8:26AM Sunday, Feb 22, 2004
Компьюлента. 28 июля 2003 года, 10:28
Компания Microsoft объявила о выпуске нового кумулятивного патча для своей СУБД SQL Server версий 7 и 2000. Патч исправляет ряд ранее известных и три новые уязвимости в этих СУБД. Дыры также актуальны для Microsoft Data Engine (MSDE) 1.0 и 2000. Все новые дыры были охарактеризованы Microsoft как важные, что подразумевает необходимость установки патча при первой возможности. Во всех случаях для осуществления атаки хакер должен быть зарегистрирован в системе в качестве пользователя, то есть анонимное использование уязвимостей исключено. Первая из дыр связана с использованием поименованных каналов, с помощью которых различные процессы обмениваются информацией между собой. Используя эту дыру, злоумышленник может получить повышенные привилегии в системе. Для этого он должен зайти на компьютер в интерактивном режиме и создать на нем канал с тем же именем, что и на атакуемом сервере. Если к каналу на сервере был подключен пользователь с административными привилегиями, хакер может захватить их. Использовать данную дыру удаленно нельзя. Вторая дыра также связана с поименованными каналами, и с ее помощью хакер может "повесить" сервер базы данных. Для этого ему необходимо отправить в канал чрезмерно большой пакет с данными. Чтобы использовать дыру, хакер должен иметь доступ к локальной сети, в которой находится сервер базы данных. Для восстановления работы сервера после успешной атаки, его необходимо перезагрузить. Последняя дыра связана с возможностью переполнения буфера при использовании локального вызова процедур (LPC). Если хакер направит на порт, через который обрабатываются LPC-запросы, чрезмерно большой пакет, произойдет переполнение буфера, что даст возможность хакеру выполнить на сервере произвольный код. Для использования уязвимости хакер должен выполнить интерактивный вход в систему, удаленная атака по данному сценарию невозможна. Подробности о кумулятивном патче для СУБД MS SQL Server можно найти в бюллетене безопасности Microsoft MS03-031. |
Рассылки:
 Новости-почтой TV-Программа Гороскопы Job Offers Концерты Coupons Discounts Иммиграция Business News Анекдоты Многое другое... |
|||||||||||||||||||||||||||||||
| |
| News Central Home | News Central Resources | Portal News Resources | Help | Login | |
 | |
|
|
|
|
© 2024 RussianAMERICA Holding All Rights Reserved • Contact |
