sql server又出現新漏洞,但微軟目前還沒有針對此問題,推出修正檔,有在使用sql server的就小心一點吧!嘖嘖.gif

以下內容轉貼自http://www.ithome.com.tw/itadm/article.php?c=52767

微軟表示,發現針對此安全漏洞的攻擊程式碼已經在網際網路上公開,不過目前尚未發現任何實際的攻擊活動。

微軟於週二(12/23)發佈最新的安全通報,表示SQL Server存在安全漏洞,可能容許遠端程式碼的執行。

微軟在最新的961040安全通報中指出,包括SQL Server 2000 / 2005、Server 2005 Express Edition、Server 2000 Desktop Engine (WMSDE),以及Windows Internal Database (WYukon) 皆存有潛在的安全弱點。至於SQL Server 7.0 Service Pack 4、SQL Server 2005 SP3,以及SQL Server 2008則未受影響。

微軟表示,發現針對此安全漏洞的攻擊程式碼已經在網際網路上公開,不過目前尚未發現任何實際的攻擊活動,將主動與MAPP(微軟主動防護計劃)和MSRA(微軟安全協同聯盟)的合作夥伴充份合作,提供必要的資訊進一步保護客戶安全。

事實上,這個安全漏洞早於去年四月,就由澳洲安全顧問公司SEC Consult所提出並告知微軟,但微軟卻遲遲未能發佈修補檔案。因此SEC Consult在幾個星期前,揭露此項安全漏洞,並公佈可成功執行攻擊的程式碼,希望能讓微軟正視這個問題。

根據SEC Consult的說法,微軟已準備修補檔案近3個月,但卻不願意發佈。這個安全漏洞在於SQL Server的延伸儲存程序「sp_replwritetovarbin」,駭客可藉此漏洞執行遠端程式碼,修改資料庫裡的真實數據。

微軟的安全通報建議使用者拒絕該儲存程序的存取,便能讓有安全漏洞的系統獲得保護。一如以往,微軟未保證會發佈修補檔案,也沒有任何的時間表來修正此安全漏洞。(編譯/吳曉波)
創作者介紹

信德隨想

丫德 發表在 痞客邦 PIXNET 留言(0) 人氣()