iT邦幫忙

11

Microsoft Provides Customer Guidance with Security Advisory

微軟目前正在調查一個存在於SQL Server中的新漏洞。攻擊代碼已被公開,但是目前沒有已知的攻擊事件發生。

目前微軟已經發佈安全建議961040(http://www.microsoft.com/technet/security/advisory/961040.mspx),並且提供了一些應急措施供用戶參考。微軟目前正在積極研究該漏洞,並且會提供進一步的解決方案。
目前所知 SQL影響範圍:

n Microsoft SQL Server 2000 Service Pack 4

n Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4

n Microsoft SQL Server 2005 Service Pack 2

n Microsoft SQL Server 2005 x64 Edition Service Pack 2

n Microsoft SQL Server 2005 with SP2 for Itanium-based Systems

n Microsoft SQL Server 2005 Express Edition Service Pack 2

n Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 2

n Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4

n Microsoft SQL Server 2000 Desktop Engine (WMSDE)

n Windows Internal Database (WYukon) Service Pack 2

不受影響的軟體:

n Microsoft SQL Server 7.0 Service Pack 4

n Microsoft SQL Server 2005 Service Pack 3

n Microsoft SQL Server 2005 x64 Edition Service Pack 3

n Microsoft SQL Server 2005 with SP3 for Itanium-based Systems

n Microsoft SQL Server 2008

n Microsoft SQL Server 2008 x64 Edition

n Microsoft SQL Server 2008 for Itanium-based Systems

應對措施

财 對於SQL Server 7.0和2005的用戶,請升級到最新的Service Pack可以避免受到攻擊。

财 該漏洞無法被匿名利用。攻擊者必須擁有有效用戶身份,或者通過存在漏洞的Web應用進行SQL注入。

财 請參考安全建議961040中提供的應急措施(Workarounds),酌情部署。如果對文中內容有任何疑問,請隨時聯繫微軟。

财 微軟資安小組會通過SGC管道提供最新進展,請注意查收微軟發出的郵件。

FAQ

Q: 這是一個需要微軟發佈安全更新的安全性漏洞嗎?

A: 目前資安小組調查的結果顯示, 只要依照微軟建議的方式採取措施保護,便不會影像到系統的運作。資安小組會持續追蹤後續的狀況決定發佈緊急更新通知。

Q: 導致漏洞的原因是什麼?

A: 在儲存過程sp_replwritetovarbin中對參數的檢查存在問題,可以導致已驗證的用戶執行任意代碼。

Q: 如何識別 SQL Server 的版本
請上網站查詢http://support.microsoft.com/kb/321185


0
tom6507
iT邦大師 1 級 ‧ 2008-12-24 07:23:00

感謝分享,趕快來去更新

0
xxxyyyzzz
iT邦研究生 1 級 ‧ 2008-12-24 13:45:36

謝謝分享

0

謝謝分享!

我要留言

立即登入留言