Security Update for SQL Server 7.0 - 2005

Wczoraj opublikowana została poprawka bezpieczeństwa m.in. dla systemu SQL Server 2005 Service Pack 2, w którym wykryto lukę, pozwalającą na całkowite przejęcie kontroli nad systemem operacyjnym, na którym zainstalowany był SQL Server. Eskalujący uprawnienia mógłby instalować nowe oprogramowania, przeglądać, dodawać i usuwać dane czy np. zakładać konta administracyjne. Omawiana podatność ma związek z tym, jak SQL Server zarządza ponownym użyciem stron danych, alokuje pamięć dla funkcji CONVERT (podatność na przepełnienie bufora), waliduje wyrażenia INSERT oraz pliki dyskowe przed ich załadowaniem. Tak na prawdę problemem dotknięte są wszystkie instacje SQL Server od wersji 7.0 do 2005 (dla poszczególnych wersji z najnowszymi SP istnieją już security update'y). Poprawka została dodana z wysokim priorytetem do systemu aktualizacji automatycznych.

Ze swojej strony mogę tylko powiedzieć, że z 8 lipca 2008 roku zakończyła się era pt. "SQL Server 2005 bez łat bezpieczeństwa".

Więcej informacji i pobieranie:
Microsoft Security Bulletin MS08-040 – Important
Download: Security Update for SQL Server 2005 Service Pack 2 (KB948109)
Security Lab: (MS08-040) Vulnerabilities in Microsoft SQL Server Could Allow Elevation of Privilege