155940

Sicherheitslücke im SQL-Server

23.12.2008 | 10:04 Uhr |

Microsoft warnt vor einer Sicherheitslücke im SQL-Server. Angreifer können die Schwachstelle ausnutzen, um ihren Code auf den betroffenen Rechnern und Servern auszuführen.

Konkret sind die Datenbanksysteme Microsoft SQL Server 2000 und SQL Server 2005 von dem Problem betroffen. Es sollen bereits Exploits existieren, die die Schwachstelle ausnutzen, zu tatsächlichen Angriffen soll es Microsoft zufolge aber noch nicht gekommen sein. Damit ein Hacker die Schwachstellen ausnutzen kann, muss er sich aber erst auf dem System mit dem SQL-Server einloggen können. Der Angriff über Webanwendungen, die Daten an den SQL-Server weitergeben, soll ebenfalls damit möglich sein.

Microsoft zufolge steckt die Schachstelle in einer "stored procedure" namens "sp_replwritetovarbin" (In einer Stored Procedure können mehrere skriptartig Anweisungen zusammengefasst und dann gemeinsam ausgeführt werden. Stored procedures gibt es beispielsweise auch im bekannten MySQL). Im Unterschied zu SQL Server 2000 und SQL Server sollen folgende Datenbanksysteme nicht betroffen sein: Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 und der neue Microsoft SQL Server 2008. Weitere Informationen hat Microsoft in einem Security Advisory veröffentlicht . Derzeit gibt es noch keinen Patch, der die Lücke schließt.

0 Kommentare zu diesem Artikel
155940