Risque

  • Elévation de privilèges ;
  • exécution de code arbitraire à distance ;
  • prise de contrôle de la base SQL.

Systèmes affectés

  • MS SQL Server 2000 ;
  • MSDE 2000.

Résumé

Deux vulnérabilités ont été découvertes dans MS SQL Server 2000 et MSDE 2000.

Description

  • Database Consistency Checkers (DBCCs) est un ensemble d'utilitaires exécutables en ligne de commande intégrés à SQL Server 2000 permettant d'assurer la maintenance ou d'effectuer diverses opérations sur un serveur SQL Server. Une vulnérabilité de type débordement de mémoire présente dans DBCCs permet à un individu mal intentionné d'exécuter du code arbitraire à distance dans le contexte d'exécution du service SQL Server ou bien de prendre le contrôle de la base de données.
  • Une vulnérabilité d'injection SQL présente dans deux procédures stockées, utilisées pour la réplication des bases de données permet, dans certains cas, à un individu mal intentionné d'exécuter du code arbitraire à distance.

Solution

Appliquer le correctif cumulatif fourni par Microsoft (cf. Documentation).

Documentation

Bulletin de sécurité Microsoft #MS02-038 :

http://www.microsoft.com/technet/security/bulletin/MS02-038.asp