Sammel-Patch für SQL Server

Microsoft hat am Mittwoch einen Sammel-Patch für SQL Server 7.0 und 2000 zum Download bereit gestellt. Der Patch soll vier Sicherheitslücken schließen.

Von den Sicherheitslücken sollen auch die Microsoft Data Engine (MSDE) 1.0 und MSDE 2000 betroffen sein, beides Anwendungen die mit dem SQL-Server zum Einsatz kommen. Microsoft beschreibt die Bugs im Security Bulletin MS02-056 und bewertet die Relevanz mit "critical".

Zwei der Lücken entstehen durch Buffer-Overruns, über die ein Angreifer die komplette Kontrolle über die Datenbank erlangen kann. Einer kann bei der Benutzer-Authentifizierung in SQL Server 2000 und MSDE 2000 auftreten, der andere bei Konsolenkommandos der Datenbank.

Der dritte Bug betrifft ein Feature, dass Anwendern erlaubt Jobs in SQL Server 7.0 und 2000 zu steuern. Dabei können die User normalerweise nur die Jobs beeinflussen, für die sie auch Rechte haben. In manchen Fällen vergibt der Server aber auch unprivilegierten Anwendern seine eigenen, oft höheren Rechte.

Der Sammel-Patch fixt noch eine vierte Sicherheitslücke, die einem Angreifer offen steht, falls das System laut Microsoft "poorly configured" ist. In diesem Fall sind unprivilegierte Anwender in der Lage auf Daten zuzugreifen, für die sie keine Zugriffsrechte besitzen. Mit dem Patch sollen nun selbst Daten die nur unzureichend abgesichert sind, besser vor unbefugten Zugriffen geschützt sein. (ssp)