SQL Server 2000管理员缓存连接漏洞

2012-4-27 21:10:52 来源:网络转载 浏览:128
sqlserver漏洞公布:SQL Server 2000管理员缓存连接漏洞。

  受影响系统:

  Microsoft SQL Server 7.0

  - Microsoft Windows NT 4.0

  Microsoft SQL Server 2000 Gold

  - Microsoft Windows NT 4.0

  - Microsoft Windows 2000

  描述:

  BUGTRAQ ID : 2863

  CVE ID :CAN-2001-0344

  当一个客户端与SQL Server连接结束后,出于性能的考虑,这个连接还会在服务器上缓

  存一段时间。而SQL的查询方法存在缺陷,因此导致一个用户的查询可能会重用缓冲的

  sa帐号的连接。

  这样,攻击者就可能以SQL Server管理员的身份对数据库进行任意操作,或者是运行外

  部的程序,这相当于完全控制了这台服务器。

  <*来源:Microsoft Security Bulletin MS01-032 on June 12, 2001

  参考:http://www.microsoft.com/technet/security/bulletin/MS01-032.asp

  *>

  建议:

  微软已经为此发布了一个安全公告(MS01-032)以及相应补丁程序:

  http://www.microsoft.com/technet/security/bulletin/MS01-032.asp

  补丁下载:

  Microsoft SQL Server 2000 and SQL Server 7.0:

  http://support.microsoft.com/support/kb/articles/Q299/7/17.asp

(0)
(0)