Microsoft Security Bulletin MS02-039

Software kuvakaappaus:
Microsoft Security Bulletin MS02-039
Ohjelmiston tiedot:
Versio: Q323875
Lähetyksen päivämäärä: 29 Oct 15
Kehittäjä: Microsoft
Lupa: Vapaa
Suosio: 13
Koko: 163 Kb
Lataa

Rating: nan/5 (Total Votes: 0)

SQL Server 2000 esittelee mahdollisuuden isännöidä useita SQL Server yhdessä fyysisessä koneessa. Kustakin toimii kaikki aikomukset ja tarkoituksiin kuin se olisi erillinen palvelin. Kuitenkin useita kertoja voi kaikki käyttää standardia SQL Server istunnon portti (TCP 1433). Vaikka oletusesiintymää TCP-porttia 1433, nimeltään tapauksissa kuunnella satamien niille. SQL Server Resolution Service, joka toimii UDP-portti 1434, tarjoaa asiakkaille keinon kyselyn tarvittavat verkkopalvelut päätepisteitä käyttää tietyn SQL Server-esiintymä. On kolme haavoittuvuudet täällä. Kaksi ensimmäistä ovat puskurin ylivuotoa. Lähettämällä huolella paketin Ratkaisu Service, hyökkääjä voi aiheuttaa osien järjestelmän muistia (kasaan yhdessä tapauksessa, pino muissa) ja korvataan. Korvaamalla se satunnaisella aineistolla johtaisi todennäköisesti epäonnistumisen SQL Server -palvelun; korvaamalla se huolella valitut tiedot saattaa sallia hyökkääjän koodin suorittamisen turvallisuuden yhteydessä SQL Server -palvelun. Kolmas haavoittuvuus on palveluneston aiheuttava haavoittuvuus. SQL käyttää keep-alive mekanismi erottaa aktiivisen ja passiivisen tapauksissa. On mahdollista luoda keep-alive paketin, kun lähetetään Ratkaisu Service, aiheuttaa SQL Server 2000 vastaamaan samat tiedot. Hyökkääjä luonut tällaisen paketin, väärennetty lähde osoite, jotta se näyttivät tulevan yksi SQL Server 2000-järjestelmän, ja lähetti sen naapurimaiden SQL Server 2000 järjestelmä voi aiheuttaa kaksi järjestelmää tulla loputon sykli keep -alive paketti vaihtoa. Tämä kuluttaa resursseja molemmissa järjestelmissä, hidastaa suorituskykyä huomattavasti. Lieventävät seikat: Puskurin ylivuotoja SQL Server Resolution Service:

  • SQL Server 2000 kulkee turvallisuustilanteessa valitsema järjestelmänvalvoja asennuksen aikana. Oletuksena se toimii kuten Domain User. Näin ollen vaikka hyökkääjän koodin voisi toteuttaa halutun toiminnon tietokantaan, se ei välttämättä ole merkittäviä etuoikeuksia käyttöjärjestelmätasolla jos parhaita käytäntöjä on noudatettu.
  • aiheutuva riski haavoittuvuutta voidaan lieventää, jos mahdollista, estää portin 1434 palomuurissa.

palveluneston kautta SQL Server Resolution Service:

  • hyökkäys voisi katkaista käynnistämällä SQL Server 2000 Service joko kärsivän järjestelmiä. Normaali käsittely molemmissa järjestelmissä jatkuisi kerran hyökkäys lopettanut.
  • Haavoittuvuus ei tarjoa tapa saada käyttöoikeuksia järjestelmään. Se on palveluneston aiheuttava haavoittuvuus vain.

vaatimukset :

& nbsp;

  • Windows 2000

& nbsp;

29 Oct 15 Sisään Kehitystyökalut, Tietokantaohjelmisto

Tuetut käyttöjärjestelmät

Vastaavia ohjelmistoja

MySQL Migration Toolkit
MySQL Migration Toolkit

19 Jun 16

OraLoader
OraLoader

1 Jan 15

SQutiL
SQutiL

25 May 15

DTM DB Stress
DTM DB Stress

21 Jan 15

Muu ohjelmistojen kehittäjä Microsoft

Halo: Combat Evolved v1.05 to v1.06 patch
Halo: Combat Evolved v1.05 to v1.06 patch

26 Oct 15

SideWinder Game Device Software for Windows 95 and 98
SideWinder Game Device Software for Windows 95 and 98

24 Sep 15

Microsoft Word 97 Hyperlinks Update
Microsoft Word 97 Hyperlinks Update

6 Dec 15

Zune (64-bit)
Zune (64-bit)

28 May 15

Kommentit Microsoft Security Bulletin MS02-039

Kommentteja ei löytynyt
Lisää kommentti
Ota kuvia!
Haku luokan mukaan
Suosittu ohjelmisto