Microsoft Security Bulletin MS02-039

Programinė įranga Screenshot:
Microsoft Security Bulletin MS02-039
Programinė detalės:
Versija: Q323875
Įkėlimo datą: 29 Oct 15
Kūrėjas: Microsoft
Licencija: Nemokamai
Populiarumas: 27
Dydis: 163 Kb

Rating: 4.0/5 (Total Votes: 2)

SQL Server 2000 "pristato galimybę įdėti keletą SQL Server ant vieno fizinio mašina. Kiekvienas atvejis veikia visų ketinimų ir tikslų, tarsi tai buvo atskiras serveris. Tačiau keli atvejai gali ne visi naudoja standartinę SQL Server sesijos uostą (TCP 1433). Nors numatytasis atvejis klauso TCP prievado 1433, pavadintas atvejų klausytis bet jiems paskirtoje uostą. SQL Server geba tarnyba, kuri veikia UDP prievado 1434, suteikia galimybę klientams užklausa už tinkamą tinklo požymius naudoti konkrečiam SQL Server kelią. Yra trys saugumo spragų čia. Pirmieji du yra buferio. Siųsdami kruopščiai paruošta paketą į nutarimu tarnybos, užpuolikas gali sukelti porcijas sistemos atminties (į vieną bylą krūvą, į kitus kamino) turi būti perrašytas. Perrašymas su atsitiktinių duomenų tikriausiai sukelti į SQL Server paslaugų nepakankamumas; perrašyti jį su kruopščiai atrinktų duomenų galėtų leisti įsilaužėliui paleisti kodą saugumo kontekste SQL Server paslaugą. Trečiasis pažeidžiamumas yra paslaugų pažeidžiamumą neigimas. SQL naudoja keep-gyvas mechanizmas atskirti aktyvių ir pasyvių atvejais. Tai leidžia sukurti keep-gyvas paketą, kad, kai siunčiami į Resolution Service, sukels SQL Server 2000 reaguoti su tuo pačiu informacijos. Užpuolikas, kuris sukūrė tokį paketų, netikros šaltinio adresą, kad jis pasirodė iš vienos SQL Server 2000 sistema, ir pasiuntė jį į kaimyninę SQL Server 2000 sistemos gali sukelti dvi sistemas įvesti nesibaigiančią ciklą Keep -alive paketais mainai. Tai vartoti išteklius abiem sistemoms, lėtėja efektyvumą žymiai. Švelninančių veiksnių: buferio SQL Server nutarimu paslaugos:

  • SQL Server 2000 Veikia saugumo kontekste pasirinkto įrengimo metu administratorius. Pagal nutylėjimą, jis veikia kaip vartotojas domeno. Taigi, nors užpuolikas kodas gali imtis bet kokios norimą veiksmą į duomenų bazę, tai nebūtinai turi dideles privilegijas tuo operacinės sistemos lygmeniu, jei geriausios praktikos buvo laikomasi.
  • kelia pažeidžiamumo rizika gali būti sušvelninta, jei įmanoma, blokuoja port 1434 užkardoje.

Denial of Service per SQL Server nutarimu paslaugos:

  • Ataka gali būti nulaužtos iš naujo paleisdami SQL Server 2000 Service abiejų nukentėjusių sistemas. Normalus apdorojimas abiejose sistemose būtų atnaujintas, kai ataka nutrūko.
  • pažeidžiamumas nesuteikia būdas įgyti privilegijų sistemoje. Tai paslaugų pažeidžiamumą tik.
  • neigimas

Reikalavimai :

& nbsp;

  • "Windows 2000"

& nbsp;

Palaikomos operacinės sistemos

Panaši programinė įranga

Kita programinė įranga kūrėjas Microsoft

Komentarai Microsoft Security Bulletin MS02-039

Komentarai nerastas
Pridėti komentarą
Pasukite ant paveikslėlio!