Risques
- Exécution de code arbitraire à distance
- Prise de contrôle de la base SQL
- Élévation de privilèges
Systèmes affectés
- MS SQL Server 2000 ;
- MSDE 2000.
Résumé
Deux vulnérabilités ont été découvertes dans MS SQL Server 2000 et MSDE 2000.
Description
- Database Consistency Checkers (DBCCs) est un ensemble d'utilitaires exécutables en ligne de commande intégrés à SQL Server 2000 permettant d'assurer la maintenance ou d'effectuer diverses opérations sur un serveur SQL Server. Une vulnérabilité de type débordement de mémoire présente dans DBCCs permet à un individu mal intentionné d'exécuter du code arbitraire à distance dans le contexte d'exécution du service SQL Server ou bien de prendre le contrôle de la base de données.
- Une vulnérabilité d'injection SQL présente dans deux procédures stockées, utilisées pour la réplication des bases de données permet, dans certains cas, à un individu mal intentionné d'exécuter du code arbitraire à distance.
Solution
Appliquer le correctif cumulatif fourni par Microsoft (cf. Documentation).
Documentation
- Bulletin de sécurité Microsoft #MS02-038 : http://www.microsoft.com/technet/security/bulletin/MS02-038.asp