Sammel-Patch für MS SQL Server
Nach Angaben von Microsoft hängt das aktuelle Sicherheitsproblem mit so genannten Extended Stored Procedures zusammen. Diese Routinen können von Administratoren selbst in C oder C# geschrieben werden, um dem Datenbankserver Zusatzfunktionen zu spendieren. Microsoft liefert selbst einige dieser Procedures mit, die Hilfs- und Wartungsfunktionen bieten, darunter auch E-Mail-Benachrichtigungen.
Der Fehler, den Microsoft nun eingestehen muss, hängt mit den Berechtigungen dieser Routinen zusammen. Anscheinend ist es einem Angreifer je nach Konfiguration des Servers möglich, Extended Stored Proceduresaufzurufen. Da manche dieser Funktionen auf den Server selbst zurückgreifen, könne der Angreifer die Kontrolle über den Server gewinnen, mit allen Rechten eines Administrators.
Den Sammel-Patch und das zugehörige Security Bulletin finden Sie hierbei Microsoft. (uba)