Megapatch tappaspifferi per MS SQL Server

Microsoft ha rilasciato un cerottone per il suo database che va a tappare in un sol colpo magagne vecchie e nuove. Un cerottino risolve invece un problemino di password

Redmond (USA) - Microsoft ha rilasciato in contemporanea una megapatch per SQL Server 2000, che corregge falle vecchie e nuove, e una singola patch per SQL Server 7 e 2000, che va a tappare un bug di recente scoperta. In entrambi i casi, i problemi di sicurezza sono stati classificati da Microsoft di rischio moderato.

La patch cumulativa si applica a tutte le edizioni di SQL Server 2000 e di SQL Server Desktop Engine (MSDE) 2000 e, oltre a comprendere tutte le patch precedentemente rilasciate, mette fine a tre vulnerabilitÓ di sicurezza, la pi¨ grave delle quali pu˛ consentire ad un aggressore di eseguire del codice a sua scelta sul server.

La prima falla riguarda un buffer overrun in una procedura utilizzata per criptare le password e altre informazioni di autenticazione. Un aggressore potrebbe sfruttare la falla per eseguire del codice con gli stessi privilegi dell'account con cui gira SQL Server e, eventualmente, per guadagnare privilegi pi¨ elevati.
Un secondo buffer overrun mina invece una delle procedure utilizzate da SQL Server per l'inserimento di dati bulk nelle tabelle del database. Come in precedenza, un aggressore potrebbe sfruttare la debolezza per guadagnare un certo controllo sul database e, in alcuni casi, sull'intero server. In questo caso l'aggressore deve per˛ far parte del gruppo Bulk Admins che, di default, non contiene nessun membro.

La terza vulnerabilitÓ riguarda invece alcuni permessi errati nella chiave del registro che archivia le informazioni sugli account. In questo caso un aggressore che sia in grado di caricare ed eseguire query sul sistema potrebbe elevare i propri privilegi fino ad ottenere quelli con cui gira il sistema operativo.

Tutte e tre le vulnerabilitÓ vengono descritte da Microsoft nel bollettino di sicurezza MS02-034. La megapatch che le corregge, e che include tutte le precedenti patch per SQL Server 2000, pu˛ essere scaricata qui.

La patch singola, descritta nel bollettino di sicurezza MS02-035, riguarda invece una vulnerabilitÓ nella procedura d'installazione di SQL Server 7.0 (incluso MSDE 1.0), SQL Server 2000 o uno dei relativi service pack: in alcune circostanze, infatti, la password di amministratore potrebbe venire archiviata in chiaro o con una criptazione debole nel file setup.iss o in uno dei file di log sqls*.log, consentendone l'accesso o la facile decodifica da parte di chiunque possa loggarsi nel sistema. La vulnerabilitÓ si presenta solo nei server configurati per l'utilizzo "Mixed Mode": non ne sono afflitti i sistemi che utilizzano il "Windows Authentication Mode" raccomandato da Microsoft.

La patch Ŕ costituita da una utility, KillPwd, che una volta lanciata fa una scansione del sistema in cerca di eventuali file contenenti password di SQL e li cancella. L'altra soluzione suggerita da Microsoft Ŕ quella di spostare manualmente i file incriminati in una directory protetta.
TAG: microsoft
11 Commenti alla Notizia Megapatch tappaspifferi per MS SQL Server
Ordina
  • <snip>
    La patch è costituita da una utility, KillPwd, che una volta lanciata fa una scansione del sistema in cerca di eventuali file contenenti password di SQL e li cancella. L'altra soluzione suggerita da Microsoft è quella di spostare manualmente i file incriminati in una directory protetta.
    </snip>

    Ditemi che non e' vero.

    La soluzione suggerita da MS non e' semplicemente comica?
    non+autenticato

  • > Ditemi che non e' vero.
    >
    > La soluzione suggerita da MS non e'
    > semplicemente comica?


    Beh ma funziona no?

    Io però ho una soluzione migliore: andare sul prompt di DOS, scrivere "format C:", riavviare il computer e installare Linux con MySQL o PostGres. A questo punto, se volete, potrete anche vendere il computer tenendovi solo il vecchio hard disk, spendere più o meno metà del ricavato per comprare un computer più vecchio, rimetterci l'hard disk: ci avrete guadagnato dei soldi e andrete esattamente alla stessa velocità di prima. Solo che avrete molti meno problemi.

    Fidatevi.
    non+autenticato
  • > installare Linux con
    > MySQL o PostGres.

    Questa è la soluzione per i malati di mente...
    Se paragoni MySQL a SQL Server, vuol dire che
    - 1 non hai mai usato SQL Server
    - 2 fai applicazioni che sono delle cagate!!!

    PostGres non lo conosco, ma paragonare MySQL a SQL Server è come paragonare PHP a .NET : non centra un caxxo !!!
    Sono 2 prodotti completamente diversi, che
    hanno obbiettivi completamente diversi !!

    ciao a tutti, e sparate meno caxxate !!!!
    non+autenticato


  • > PostGres non lo conosco
    e neppure sapdb (www.sapdb.org ), scommetto ..
    e c'e gente che continua a pagare un occhio della testa per MS SQL SERVER che , correggetemi se sbaglio, gira solo su piattaforma intel..
    mah!
    non+autenticato
  • > > PostGres non lo conosco
    > e neppure sapdb (www.sapdb.org ), scommetto
    > ..
    > e c'e gente che continua a pagare un occhio
    > della testa per MS SQL SERVER che ,
    > correggetemi se sbaglio, gira solo su
    > piattaforma intel..
    > mah!

    il solo fatto che sia SAP mi fa venire i brividi...
    avranno sviluppato un database in abab...
    E anzi, scherzi a parte, sembra(dal nome) un evoluzione di una vecchia versione di oracle...

    non+autenticato
  • il sapdb e' un database sotto GPL che potenzia il sap R/3 e gestisce database fino a 32 terabyte ; _non_ e' assolutamente una vecchia versione di oracle .. non dico che sia il database perfetto , ma IMO e' una alternativa a oracle piu ' plausibile
    di M$ SQL SERVER
    (poi alla fine visto quello che costano,
    tutti e due, non e' che me ne freghi molto
    di quale sia il migliore )

    sul sito ci sono tutte le informazioni che vuoi , inclusi i sorgenti
    non+autenticato


  • - Scritto da: illegalinstruction
    > il sapdb e' un database sotto GPL che
    > potenzia il sap R/3 e gestisce database fino
    > a 32 terabyte ; _non_ e' assolutamente una
    > vecchia versione di oracle .. non dico che
    > sia il database perfetto , ma IMO e' una
    > alternativa a oracle piu ' plausibile
    > di M$ SQL SERVER
    > (poi alla fine visto quello che costano,
    >   tutti e due, non e' che me ne freghi molto
    > di quale sia il migliore )

    Qui, lasciamelo dire, dimostri mancanza di esperienza aziendale. Vai a giustificare ad un dirigente "l'applicazione e' lenta, abbiamo perso i dati (accidenti il supporto alle transazioni e' ancora beta ed un backup decente e' un sogno), per risparmiare 1400 euro." e vediamo la risposta.
    Poi sono d'accordo con te che spesso si spenda a sproposito. Ho visto 3 team sviluppare 3 applicazioni diverse, usando ciascuno il suo db server, quando sarebbe stato MOLTO piu' corretto averne uno, a manutenzione centralizzata, con tre database separati in linea.

    non+autenticato
  • Che poi, lo so che ognuno é convinto di non poter fare a meno di "quella feature" o "quell'altra", ma provare a dare un'occhiata anche a Postgres non guasterebbe, e provarlo, anche se magari sembra che non abbia proprio quella funzione basilare poi si scopre che non ci serviva a un tubo, come mettiamo per esempio activex in un browser o l'interfaccia per cliccare su "compila" e far lanciare il compilatore IMHO eh.
    non+autenticato
  • Sbagli gira anche su alpha-digital
    non+autenticato
  • In questo sbagli. Siamo una azienda con + di 300 pc partner sia microsoft che ibm.
    Abbiamo servers con linux e servers con wind2000Adv. server, oltre a testare sia XP, .NET ecc. Ecc...
    Solo oposso dire che SQL Server 7 , e 2000, lavora alla grande anche su amd, e credo pure con altre cose....
    Sono in perfetton accordo con te per il risparmio e su Linux, ma noi, benchè orientati in quella direzione molto attentamente, non possiamo permetterci di utilizzarlo su scala definitiva.....
    questa è larealtà, sia di possibilità tecniche lavorative che commerciale.
    Saluti, e spero i lavori si velocizzino per una rapida pseudo unificazione, (sogno)..
    non+autenticato


  • - Scritto da: Federico
    > con
    > MySQL o PostGres.

    Soluzione che fa ridere, per applicazione piu' serie della tua agenda telefonica personale.
    non+autenticato