您当前的位置 >> 首页     

微软安全公告 MS01-032

/ns/ld/win/data/20010623101827.htm


涉及程序:
SQL SERVER

描述:
利用 MS SQL SERVER 漏洞取得 sa 权限

详细:
微软发布安全公告,指出其 SQL SERVER 存在漏洞,并建议用户尽快下载安装补丁。
当一个客户连接终止时,它会在缓存中保持一段时间。攻击者利用此点,通过发送一个 SQL 查询可能重新启用此缓存中的连接,此连接所有者帐户是 sa。
成功地利用此漏洞,攻击者将能在服务器上执行任意代码。

注意:
1、此漏洞此仅对混杂模式(MIXED MODE)有作用,建议用户采用 WINDOWS 验证模式(AUTHENTICATION MODE)。
2、保存在缓存中的连接只存在一段很短的时间,攻击者需精确地把握好时间。
3、发送 SQL 查询需合法帐户。

受影响系统:
Microsoft SQL Server 7.0
Microsoft SQL Server 2000 Gold
之前版本未做测验

解决方案:
请您下载安装补丁:
MS 下载:
http://support.microsoft.com/support/kb/articles/Q299/7/17.asp

关于我们 | 加入我们 | 网站结构 | 交换连接 | 联系我们

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Network Security Group.
All Rights Reserved.
W3C XHTML 1.0 Strict & CSS 1.2 Valid.