Sicherheitslücken in SQL-Server

Guten Abend

Einige Sicherheitslücken machen Microsofts Datenbank SQL-Server anfällig für Denial of Server-Attacken und ermöglichen Hackern zerstörerischen Code auf dem fremden System auszuführen. Patches gibt's auf der Microsoft-Web-Site, doch deren Einsatz will gut überlegt sein.


Die Sicherheitsprobleme betreffen SQL-Server 2000 und SQL-Server 7.0 und entstehen laut Microsoft durch die beiden Produkten eigene Art Meldungen nach einer Datenbankabfrage zu generieren. Das Risiko durch die so entstehenden Lücken stuft Microsoft beim ersten Fehler als moderat, beim zweiten Fehler als gering ein.

Die Gefahr durch den ersten Fehler geht von den Funktionen zur Text-Generierung aus, die sich um die Mengenbeschränkung des Textes kümmern, um einen zugewiesenen Puffer nicht zu überschreiten. Der Fehler kann zu einem Pufferüberlauf führen und Hackern so ermöglichen, zerstörerischen Code im fremden System auszuführen. Wie groß der dadurch anzurichtende Schaden sein kann, hängt von der Konfiguration der Datenbank ab. Im schlimmsten Fall kann ein Hacker empfindlich in die Datenbank eingreifen und sogar weitreichende Kontrolle über den Server selbst erlangen.

Der zweite Angriffspunkt betrifft die C-Runtime-Features zum Formatieren von Text-Strings unter Windows NT 4.0, Windows 2000 und XP. Durch den Fehler wird die Datenbank anfällig für DoS-Attacken, so Microsoft. Die C-Runtime steckt in allen Windows-Plattformen und ist eine Sammlung von EXE-Dateien und Files, die C-Programme unterstützen. Laut Microsoft kann ein Format-String dann Schaden anrichten, wenn das System formatierten Text zum Drucken akzeptiert, ohne ihn vorher zur prüfen.

Microsoft empfiehlt allen Datenbankadministratoren den Patch zum Schließen der ersten Sicherheitslücke auf allen Systemen zu installieren, auf denen SQL Server 7.0 und SQL Server 2000 läuft.

Der Patch für das andere Problem sollte laut Hersteller nur dann installiert werden, wenn das Risiko eines Angriffs wirklich hoch ist. Denn wenn der Patch selbst fehlerhaft ist, kann das zerstörerische Konsequenzen für das System haben. "Die C-Runtime ist für viele OS-Funktionen existentiell, das schließt das Booten des Systems mit ein. Deshalb sollte man gründlich abwägen, bevor man den Patch installiert", so das MS-Security-Bulletin. "Der Patch wurde zwar ordentlich getestet, aber wir können einen Patch nicht so intensiv testen wie etwa ein Service-Pack oder eine neue Version." Wer dieses Risiko nicht eingehen möchte, muss warten, bis das nächste SQL-Service-Pack herauskommt, das den Fehler dann wohl auch fixen wird. (ssp)

Gruss Stefan
 
Knntest du evtl auch gleich URLs posten, oder liegt dir auch nur dieser Text vor!?

________
Nachtrag:
Danke dir herzlichst... :))
 
Zurück
Oben