S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 juillet 2003
N° CERTA-2003-AVI-117
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans MS-SQL Server

Gestion du document

Référence CERTA-2003-AVI-117
Titre Vulnérabilités dans MS-SQL Server
Date de la première version24 juillet 2003
Date de la dernière version24 juillet 2003
Source(s) Bulletin de sécurité #MS03-031 de Microsoft
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Déni de service
  • Exécution de code arbitraire
  • Élévation de privilèges

Systèmes affectés

  • Microsoft Data Engine (MSDE) 1.0 ;
  • Microsoft SQL Server 2000 ;
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) ;
  • Microsoft SQL Server 2000 Desktop Engine (Windows).
  • Microsoft SQL Server 7.0 ;

Résumé

Trois vulnérabilités ont été découvertes dans MS SQL Server.

Description

  • Microsoft SQL Server utilise des tubes nommés spécifiques pour la gestion des connexions au serveur. Une erreur dans le mécanisme de gestion utilisé pour ces tubes permet à un utilisateur local non autorisé d'obtenir un accès au serveur en prenant possession d'un tube nommé utilisé pour la connexion d'un utilisateur licite ;
  • l'envoi d'un paquet malicieusement formé à un tube nommé spécifique permet à un utilisateur mal intentionné d'effectuer un déni de service ou bien d'exécuter du code arbitraire sur le serveur ;
  • une faille de type débordement de mémoire présente dans l'une des fonctions du serveur permet à un utilisateur local d'exécuter du code arbitraire sur la machine.

Solution

Appliquer le correctif cumulatif fourni par Microsoft (cf. Documentation).

Documentation

Gestion détaillée du document

    le 24 juillet 2003
    version initiale.