Microsoft: Négy új biztonsági figyelmeztetés, és javítás

A szoftveróriás négy új, biztonsági résekről szóló figyelmeztetést tett közzé weboldalán, amelyek közül a legsúlyosabb hiba lehetővé teszi az SQL Server 2000 adatbázis funkcióinak, illetve a rendszer egészének az átvételét a támadó számára.

A hét közepén kiadott négy figyelmeztetés a társaság új közlemény irányelvei szerint jelent meg, mondta Scott Culp, a Microsoft számítógépes biztonság részlegének menedzsere. - Azt szeretnénk, ha a megjelenési időt tekintve kiszámíthatóbbak lennének ezek a közelmények - mondta Culp. - Mindezzel elérhető, hogy a rendszeradminisztrátorok a kiadást követően minél hamarabb el tudják végezni a javítások feltelepítését - tette hozzá a vezető.

A négy újonnan kiadott biztonsági figyelmeztetésből a legsúlyosabb probléma az SQL Server 2000 megoldást érinti, és a szoftver azon új funkciójában található, amely lehetővé teszi, hogy egy szerver az adatbázis szoftver több példányát is futtassa egyszerre.

A szoftver biztonsági réseiből kettő a már jólismert buffer overflow (puffer túlcsordulás) típusú hiba, amely lehetővé teszi a támadók számára a számítógép feletti irányítás megszerzését. Egy harmadik SQL Server 2000 hiba Denial-of-Service (DoS) támadás indítását teszi lehetővé. Ha a támadó egy megfelelően kialakított parancsot küld a szoftvernek, a program azonos parancsot küld vissza a forrásnak. Mindezzel elérhető, hogy kettő vagy több SQL Servert tartalmazó számítógép végtelen ciklusba keveredjen. Ezt a ping-pongot csak el kell indítani, és fenntartja önmagát.

A három másik biztonsági figyelmeztetés az Exchange Serverhez, a metadirectory szolgáltatáshoz, illetve szintén az SQL Server 2000-hez kapcsolódik. A Microsoft biztonsági közleményei a http://www.microsoft.com/security/ címen érhetők el.