SQL-Server 2000 bekommt General-Patch

Microsoft hat einen General-Patch für den SQL-Server 2000 veröffentlicht. Enthalten sind wie üblich alle bisher veröffentlichten Fixes für die Software. Außerdem werden Probleme neueren Datums beseitigt. Eine weitere Sicherheitslücke in SQL-Server 7.0, Microsoft Data Engine 1.0 (MSDE 1.0) und SQL Server 2000 wird durch ein separat erhältliches Tool geschlossen.

Drei neu entdeckte Sicherheitsprobleme hat Microsoft zum Anlass genommen, den SQL-Server mit einer Patch-Sammlung zu flicken. Alle drei Lücken beträfen nur den SQL-Server 2000, keine vorherigen Versionen, heißt es im zugehörigen Security Bulletin. Betroffen ist auch die Microsoft SQL Server Desktop Engine (MSDE) 2000.

Zwei der neueren Lücken entstammen ungeprüften Speicherbereichen. Beide sind nach Angaben von Microsoft als moderat einzustufen, weil sie bestimmte Konfigurationen des Servers voraussetzen. Microsoft bietet für eine weitere Lücke ein Tool (KillPwd) an, das nicht im General-Patch enthalten ist. Es löscht die Datei "setup.iss", die bei der Installation des Servers oder beim Aufspielen von Service-Packs generiert wird. Unter Umständen ist es über diese Datei möglich, Passwörter im Klartext zu sehen. Das dafür zuständige Bulletin finden Sie hier.

Der Sammel-Patch behandelt unter anderem einen ungeprüften Puffer in der Passwort-Verschlüsselung. Er lässt sich laut Microsoft nur ausnutzen, wenn der Server alle Benutzeranfragen auf die Datenbank direkt ausführt. Üblicherweise sollte ein Administrator solche Zugriffe aber begrenzen, etwa auf Benutzer von einer Domain, die dann bestimmte Rechte haben. Außerdem sei es üblich, die Anfragen auf ihre Gültigkeit prüfen zu lassen. Diese Quasi-Sicherung sei die Standardeinstellung des Servers, teilte Microsoft mit.

Der zweite Buffer Overrun ist bei der Eingabe von Roh-Daten (Bulk Update Procedure) möglich. Diese Lücke setze zumindest begrenzte Administratorenrechte voraus. Gelänge es einem Angreifer dann, die Funktion zur Dateneingabe aufzurufen und durch eine Eingabe den Puffer überlaufen zu lassen, kann er seine Benutzerrechte auf das volle Administratoren-Level erhöhen. Es wäre dann etwa möglich, Daten zu löschen.

Die dritte Lücke erlaube einem Angreifer ebenfalls die Änderung der Benutzerrechte, in diesem Fall durch Manipulation der Registry. Laut Microsoft könnte es einem Angreifer gelingen, über den Service-Zugang den Eintrag des SQL-Servers in der Registry zu ändern. Aus der laut Hersteller standardmäßig als "nicht-privilegiert" in die Registry eingetragenen Datenbank könnte so ein privilegiertes System mit den Rechten des Betriebssystems selbst werden. Wie bei Einträgen in der Registry üblich, funktioniere der Angriff erst, wenn das System neu gestartet wird.

Das Bulletin und Links zum Patch finden Sie hier bei Microsoft. Die von David Litchfield entdeckte vermeintliche Passwort-Lücke, über die wir berichteten, ist übrigens nicht durch den Cumulativ-Patch abgedeckt. Microsoft dankt Litchfield von NGSSoftware aber im Zusammenhang mit dem jetzt erschienen Patch für das Aufstöbern der Lücke in der Bulk Update Procedure. (uba)