MS patcht SQL Server 2000

Microsoft stopft zwei Löcher im SQL Server 2000 (Service Pack 2) mit einem Sammelpatch. Beide Lücken setzen allerdings bestimmte Benutzerrechte voraus, um sie ausnutzen zu können.

Die erste Lücke steckt laut Microsoft im Database Consistency Checker (DBCC). Das Konsolen-Utility erlaubt im Sinne des Erfinders Systemadministratoren die Überwachung des Datenbankservers. Ein ungeprüfter Puffer erlaubt es aber auch einem Eindringling, Befehle auszuführen. Im Ernstfall könnte ein Angreifer Code seiner Wahl ausführen. Laut Microsoft sind zum Nutzen der Lücke aber mindestens Rechte als "db_owner" oder "db_ddladmin" nötig.

Das zweite Sicherheitsproblem (Injecton Vulnerability) hat Microsoft in so genannten "Stored Procedures" der Datenbank entdeckt. Stored Porcedures sind mit einem Makro vergleichbar. Die betroffenen Befehlsstapel, die bei der Eingabe nicht korrekt überprüft werden, dienen zur Replizierung der Datenbank. Einem Angreifer ist es unter Umständen möglich, über diese Stored Procedures andere Systembefehle auszuführen. Auch für diese Lücke sind "db_owner"-Rechte nötig.

Microsoft stellt einen Patch für die Lücken zur Verfügung. Weitere Details und die Links zum Patch finden Sie im Security Bulletin MS02-038. Microsoft hat überdies erst kürzlich einen General-Patch für SQL Server 2000 veröffentlicht (wir berichteten). (uba)