Microsoft hat seine Kunden vor einer kritischen Sicherheitslücke in älteren Versionen seiner SQL-Server-Datenbank gewarnt. Das Unternehmen empfiehlt den Anwendern zeitnah einen Workaround einzuspielen. Über eine Sicherheitslücke in der Extended Stored Procedure "sp_replwritetovarbin" könne ein Angreifer beliebigen Code im Rahmen des SQL-Server-Prozesses ausführen. Die betroffene Stored Procedure ist per Default für alle SQL-Server-Anwender aufrufbar. Die Ausnutzung ist durch einen angemeldeten Benutzer oder über SQL-Injection-Schwachstellen möglich.....
Betroffene Versionen sind SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine und Windows Internal Database (WYukon). Neuere Versionen der Datenbank sind laut Microsoft nicht betroffen. |
|