{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Tout serveur sous Microsoft SQL Server  7.0 ou 2000 sur lequel est install\u00e9 <CODE>MDAC</CODE> (Microsoft  Data Access Components) versions <CODE>2.5 SP2</CODE> et  ant\u00e9rieures, <CODE>2.6 SP2</CODE> et ant\u00e9rieures et <CODE>2.7  Gold</CODE> et ant\u00e9rieures.</p>","content":"## Description\n\nMicrosoft `MDAC` (Microsoft Data Access Components) fournit des\nfonctions pour exploiter une base de donn\u00e9es Microsoft SQL Server. Un\nutilisateur mal intentionn\u00e9 peut envoyer une requ\u00eate mal form\u00e9e \u00e0 ce\nmodule qui provoque un d\u00e9bordement de m\u00e9moire tampon conduisant, dans\ncertains cas, \u00e0 l'ex\u00e9cution de code arbitraitre sur le serveur. Ce code\nsera ex\u00e9cut\u00e9 avec les privil\u00e8ges de l'application SQL Server. Dans le\ncas d'une installation standard, il s'agira des droits d'un utilisateur\ndu domaine. L'utilisateur mal intentionn\u00e9 pourra, entre autre, modifier,\najouter et effacer des donn\u00e9es dans la base.  \n\nLe module `MDAC` est fourni dans de nombreuses applications de Microsoft\nWindows mais seuls les serveurs SQL sont vuln\u00e9rables.  \n\nPour connaitre la version de `MDAC` install\u00e9e sur votre syst\u00e8me,\nexaminez la cl\u00e9 suivante dans la base de registre de votre serveur :  \n\n`HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\DataAccess`.  \n\nLa cl\u00e9 `FullInstallVer` vous fournit une valeur de type x.xx.yyyy.y o\u00f9\n`x.xx` correspond \u00e0 la version de `MDAC` install\u00e9e.\n\n## Solution\n\nInstallez le correctif correspondant \u00e0 votre version de `MDAC`. Ce\ncorrectif est disponible en t\u00e9l\u00e9chargement sur le site Web de Microsoft\n(cf la section Documentation).\n","cves":[],"links":[],"reference":"CERTA-2002-AVI-164","revisions":[{"description":"version initiale.","revision_date":"2002-08-01T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"},{"description":"D\u00e9bordement de m\u00e9moire"}],"summary":"Un d\u00e9bordement de m\u00e9moire pr\u00e9sent dans Microsoft `MDAC`, install\u00e9 par\nd\u00e9faut sur les serveurs Microsoft SQL Server, permet \u00e0 un utilisateur\nmal intentionn\u00e9 de provoquer un d\u00e9bordement de m\u00e9moire et, dans\ncertaines conditions, l'ex\u00e9cution de code arbitraire.\n","title":"D\u00e9bordement de m\u00e9moire dans MDAC pour Microsoft SQL Server","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 #MS02-040 de Microsoft","url":"http://www.microsoft.com/technet/security/bulletin/MS02-040.asp"}]}