Risques

  • Exécution de code arbitraire à distance
  • Prise de contrôle de la base SQL
  • Élévation de privilèges

Systèmes affectés

  • MS SQL Server 2000 ;
  • MSDE 2000.

Résumé

Deux vulnérabilités ont été découvertes dans MS SQL Server 2000 et MSDE 2000.

Description

  • Database Consistency Checkers (DBCCs) est un ensemble d'utilitaires exécutables en ligne de commande intégrés à SQL Server 2000 permettant d'assurer la maintenance ou d'effectuer diverses opérations sur un serveur SQL Server. Une vulnérabilité de type débordement de mémoire présente dans DBCCs permet à un individu mal intentionné d'exécuter du code arbitraire à distance dans le contexte d'exécution du service SQL Server ou bien de prendre le contrôle de la base de données.
  • Une vulnérabilité d'injection SQL présente dans deux procédures stockées, utilisées pour la réplication des bases de données permet, dans certains cas, à un individu mal intentionné d'exécuter du code arbitraire à distance.

Solution

Appliquer le correctif cumulatif fourni par Microsoft (cf. Documentation).

Documentation