S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 juin 2001
N° CERTA-2001-AVI-063
Affaire suivie par: CERT-FR
le 13 juin 2001

Avis du CERT-FR

Objet: Vulnérabilité de MS SQL Server

Gestion du document

Référence CERTA-2001-AVI-063
Titre Vulnérabilité de MS SQL Server
Date de la première version 13 juin 2001
Date de la dernière version 13 juin 2001
Source(s) Bulletin de sécurité Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Compromission de base de données et exécutions de commandes avec les privilèges de l'administrateur de la base.

Systèmes affectés

  • Microsoft SQL serveur 7.0
  • Microsoft SQL server 2000 Gold

Résumé

Des données de la session administrateur persistantes peuvent être réutilisée par un utilisateur mal intentionné.

Description

Pour des raisons de performances, après la déconnexion de la session de l'administrateur, certaines données restent dans le cache. Un utilisateur authentifié, ayant le droit d'accéder à la base de donnée, peut, par le biais d'une requête SQL habilement conçue, réutiliser ces données pour exécuter des commandes dans le contexte de sécurité de l'administrateur de la base.

Contournement provisoire

Cette vulnérabilité ne pouvant se produire qu'en Mode Mixte, Microsoft recommande de configurer le serveur en Mode Authentifié.

Solution

Appliquer le correctif Microsoft :

http://support.microsoft.com/support/kb/articles/Q299/7/17.asp

Documentation

http://www.microsoft.com/technet/security/bulletin/ms01-032.asp

Gestion détaillée du document

    le 13 juin 2001
    version initiale.