S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 03 octobre 2002
No CERTA-2002-AVI-220 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans MS-SQL
Tableau 1: gestion du document
| Référence |
CERTA-2002-AVI-220 |
| Titre |
Multiples
vulnérabilités dans MS-SQL |
| Date de la première
version |
03 octobre 2002 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de securite #MS02-056
de Microsoft |
| Pièce(s) jointe(s) |
Aucune |
| |
|
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service ;
- exécution de code arbitraire ;
- élévation de privilèges ;
- prise de contrôle de la base SQL.
- Microsoft SQL Server 7.0 ;
- Microsoft Data Engine (MSDE) 1.0 ;
- Microsoft SQL 2000 ;
- Microsoft Desktop Engine (MSDE) 2000.
Trois nouvelles vulnérabilités ont
été découvertes dans SQL Server.
- Un débordement de mémoire présent
dans une partie du code de SQL Server 2000 (et MSDE 2000)
associé à l'authentification des utilisateurs
permet d'exécuter du code arbitraire dans le contexte
de sécurité du service SQL Server ou bien
d'effectuer un déni de service ;
- un débordement de mémoire présent
dans l'une des Database Console Commands (DBCCs) permet
d'exécuter du code arbitraire avec le contexte de
sécurité du service SQL Server et de prendre le
contrôle des bases de données du serveur ;
- une vulnérabilité associée à
la planification des tâches dans les serveurs SQL 7.0
et 2000 permet à un utilisateur mal intentionné
de créer un fichier de commandes exécutable par
un utilisateur lors du démarrage de son profil ou bien
de remplacer certains fichiers du système afin d'en
pertuber le fonctionnement.
Appliquer le correctif cumulatif fourni par Microsoft (cf.
Documentation).
Bulletin de sécurité MS02-056 de Microsoft
:
http://www.microsoft.com/technet/security/bulletin/ms02-056.asp
- 03 octobre 2002
- version initiale.
CERTA
2012-01-04
|
)
