На сайте Microsoft размещены средства коррекции двух ошибок в СУБД SQL Server 7.0 и 2000, делающих продукт уязвимым для хакеров. Одной из ошибок присвоен «средний» уровень опасности, другой — «низкий». Первая «брешь» заключается в возможности запуска произвольного кода при определенных настройках безопасности; поскольку функции генерации текста SQL Server, выдаваемого в ответ на запросы, ограничивают его длину емкостью выделенного системой буферного пространства, атакующий имеет возможность вызвать переполнение буфера. Вторая ошибка может сделать базу данных уязвимой для DoS-атак. «Брешь» открывается, когда С-функции, входящие в состав Windows, воспринимают текст для вывода, не проверяя его на ошибки форматирования. Средство коррекции первой ошибки Microsoft советует установить на все системы. Вторую же «заплатку» рекомендуется установить лишь на системы, подверженные «высокому риску», поскольку само средство коррекции неполноценно и может нанести ущерб системе. Администраторам остальных систем рекомендовано подождать выхода очередного сервисного комплекта для SQL Server.

Поделитесь материалом с коллегами и друзьями