Microsoft Provides Customer Guidance with Security Advisory

微软目前正在调查一个存在于SQL Server中的新漏洞。攻击代码已被公开,但是目前没有已知的攻击事件发生。

目前微软已经发布安全建议961040(http://www.microsoft.com/technet/security/advisory/961040.mspx),并且提供了一些应急措施供用户参考。微软目前正在积极研究该漏洞,并且会提供进一步的解决方案。
目前所知 SQL影响範围:

n Microsoft SQL Server 2000 Service Pack 4

n Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4

n Microsoft SQL Server 2005 Service Pack 2

n Microsoft SQL Server 2005 x64 Edition Service Pack 2

n Microsoft SQL Server 2005 with SP2 for Itanium-based Systems

n Microsoft SQL Server 2005 Express Edition Service Pack 2

n Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 2

n Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4

n Microsoft SQL Server 2000 Desktop Engine (WMSDE)

n Windows Internal Database (WYukon) Service Pack 2

不受影响的软体:

n Microsoft SQL Server 7.0 Service Pack 4

n Microsoft SQL Server 2005 Service Pack 3

n Microsoft SQL Server 2005 x64 Edition Service Pack 3

n Microsoft SQL Server 2005 with SP3 for Itanium-based Systems

n Microsoft SQL Server 2008

n Microsoft SQL Server 2008 x64 Edition

n Microsoft SQL Server 2008 for Itanium-based Systems

应对措施

财 对于SQL Server 7.0和2005的用户,请升级到最新的Service Pack可以避免受到攻击。

财 该漏洞无法被匿名利用。攻击者必须拥有有效用户身份,或者通过存在漏洞的Web应用进行SQL注入。

财 请参考安全建议961040中提供的应急措施(Workarounds),酌情部署。如果对文中内容有任何疑问,请随时联繫微软。

财 微软资安小组会通过SGC管道提供最新进展,请注意查收微软发出的邮件。

FAQ

Q: 这是一个需要微软发布安全更新的安全性漏洞吗?

A: 目前资安小组调查的结果显示, 只要依照微软建议的方式採取措施保护,便不会影像到系统的运作。资安小组会持续追蹤后续的状况决定发布紧急更新通知。

Q: 导致漏洞的原因是什么?

A: 在储存过程sp_replwritetovarbin中对参数的检查存在问题,可以导致已验证的用户执行任意代码。

Q: 如何识别 SQL Server 的版本
请上网站查询http://support.microsoft.com/kb/321185


关于作者: 网站小编

码农网专注IT技术教程资源分享平台,学习资源下载网站,58码农网包含计算机技术、网站程序源码下载、编程技术论坛、互联网资源下载等产品服务,提供原创、优质、完整内容的专业码农交流分享平台。

热门文章