Sammel-Patch für SQL-Server
Microsoft hat einen Sammel-Patch für den SQL-Server [7.0 und 2000] veröffentlicht.
Wie gewohnt enthält der Patch alle bisher veröffentlichten Bugfixes und schließt weiters eine Lücke neueren Datums.
Download des Sammelpatches für SQL-ServerExtended Stored Procedures
Nach Angaben von Microsoft hängt das aktuelle Sicherheitsproblem mit so genannten Extended Stored Procedures [erweiterten Speicherprozeduren] zusammen.
Diese Routinen können von Administratoren selbst in C oder C# geschrieben werden, um dem Datenbankserver Zusatzfunktionen zu spendieren. Microsoft liefert selbst einige dieser Procedures mit, die Hilfs- und Wartungsfunktionen bieten, darunter auch E-Mail-Benachrichtigungen.
Der Fehler hängt mit den Berechtigungen dieser Routinen zusammen. Anscheinend ist es einem Angreifer je nach Konfiguration des Servers möglich, Extended Stored Procedures aufzurufen. Da manche dieser Funktionen auf den Server selbst zurückgreifen, könnte der Angreifer die Kontrolle über den Server gewinnen, mit allen Rechten eines Administrators.
Neuer Patch für Windows 2000
Ein Fehler im Netzwerkverbindungsmanager kann zur unberechtigten
Erlangung von Privilegien führen. Microsoft empfiehlt
Administratoren, den Patch umgehend auf Maschinen zu installieren,
die es unprivilegierten Benutzern erlauben, sich interaktiv
anzumelden. Dies betrifft zum Beispiel Workstations und
Terminal-Server.
Download Patch für Windows 2000