Risque
- Elévation de privilèges ;
- exécution de code arbitraire à distance ;
- prise de contrôle de la base SQL.
Systèmes affectés
- MS SQL Server 2000 ;
- MSDE 2000.
Résumé
Deux vulnérabilités ont été découvertes dans MS SQL Server 2000 et MSDE 2000.
Description
- Database Consistency Checkers (DBCCs) est un ensemble d'utilitaires exécutables en ligne de commande intégrés à SQL Server 2000 permettant d'assurer la maintenance ou d'effectuer diverses opérations sur un serveur SQL Server. Une vulnérabilité de type débordement de mémoire présente dans DBCCs permet à un individu mal intentionné d'exécuter du code arbitraire à distance dans le contexte d'exécution du service SQL Server ou bien de prendre le contrôle de la base de données.
- Une vulnérabilité d'injection SQL présente dans deux procédures stockées, utilisées pour la réplication des bases de données permet, dans certains cas, à un individu mal intentionné d'exécuter du code arbitraire à distance.
Solution
Appliquer le correctif cumulatif fourni par Microsoft (cf. Documentation).
Documentation
Bulletin de sécurité Microsoft #MS02-038 :
http://www.microsoft.com/technet/security/bulletin/MS02-038.asp