S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 juin 2001
N° CERTA-2001-AVI-063
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de MS SQL Server

Gestion du document

Référence CERTA-2001-AVI-063
Titre Vulnérabilité de MS SQL Server
Date de la première version13 juin 2001
Date de la dernière version13 juin 2001
Source(s) Bulletin de sécurité Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Compromission de base de données et exécutions de commandes avec les privilèges de l'administrateur de la base

Systèmes affectés

  • Microsoft SQL server 2000 Gold
  • Microsoft SQL serveur 7.0

Résumé

Des données de la session administrateur persistantes peuvent être réutilisée par un utilisateur mal intentionné.

Description

Pour des raisons de performances, après la déconnexion de la session de l'administrateur, certaines données restent dans le cache. Un utilisateur authentifié, ayant le droit d'accéder à la base de donnée, peut, par le biais d'une requête SQL habilement conçue, réutiliser ces données pour exécuter des commandes dans le contexte de sécurité de l'administrateur de la base.

Contournement provisoire

Cette vulnérabilité ne pouvant se produire qu'en Mode Mixte, Microsoft recommande de configurer le serveur en Mode Authentifié.

Solution

Appliquer le correctif Microsoft :

http://support.microsoft.com/support/kb/articles/Q299/7/17.asp

Gestion détaillée du document

    le 13 juin 2001
    version initiale.