Risques
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- la base de données interne Windows (WYukon).
- Microsoft Data Engine (MSDE) 1.0 ;
- Microsoft SQL Server 2000 ;
- Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) ;
- Microsoft SQL Server 2000 Desktop Engine (WMSDE) ;
- Microsoft SQL Server 2005 ;
- Microsoft SQL Server 2005 Express Edition ;
- Microsoft SQL Server 7.0 ;
Résumé
Plusieurs vulnérabilités dans le serveur Microsoft SQL Server permettent à une personne malveillante d'effectuer une élévation de privilèges et d'exécuter du code arbitraire à distance.
Description
Des vulnérabilités affectent la réutilisation des pages, l'allocation de mémoire de la fonction CONVERT, la validation des fichiers sur disque avant leur chargement et la validation des instructions INSERT. Ces vulnérabilités permettent à une personne malveillante d'effectuer une élévation de privilèges et d'exécuter du code arbitraire.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS08-040 du 08 juillet 2008 http://www.microsoft.com/technet/security/Bulletin/MS08-040.mspx
- Référence CVE CVE-2008-0085 https://www.cve.org/CVERecord?id=CVE-2008-0085
- Référence CVE CVE-2008-0086 https://www.cve.org/CVERecord?id=CVE-2008-0086
- Référence CVE CVE-2008-0106 https://www.cve.org/CVERecord?id=CVE-2008-0106
- Référence CVE CVE-2008-0107 https://www.cve.org/CVERecord?id=CVE-2008-0107
