微软安全公告 MS01-032
/ns/ld/win/data/20010623101827.htm
涉及程序:
SQL SERVER
描述:
利用 MS SQL SERVER 漏洞取得 sa 权限
详细:
微软发布安全公告,指出其 SQL SERVER 存在漏洞,并建议用户尽快下载安装补丁。
当一个客户连接终止时,它会在缓存中保持一段时间。攻击者利用此点,通过发送一个 SQL 查询可能重新启用此缓存中的连接,此连接所有者帐户是 sa。
成功地利用此漏洞,攻击者将能在服务器上执行任意代码。
注意:
1、此漏洞此仅对混杂模式(MIXED MODE)有作用,建议用户采用 WINDOWS 验证模式(AUTHENTICATION MODE)。
2、保存在缓存中的连接只存在一段很短的时间,攻击者需精确地把握好时间。
3、发送 SQL 查询需合法帐户。
受影响系统:
Microsoft SQL Server 7.0
Microsoft SQL Server 2000 Gold
之前版本未做测验
解决方案:
请您下载安装补丁:
MS 下载:
http://support.microsoft.com/support/kb/articles/Q299/7/17.asp