Microsoft : une vulnérabilité dans SQL Server

Le par  |  0 commentaire(s)
Microsoft_Securite

Microsoft publie un avis de sécurité au sujet d'une vulnérabilité d'exécution de code à distance affectant SQL Server.

Microsoft_SecuriteOn connaît déjà probablement une des premières mises à jour de sécurité qui seront proposées l'année prochaine... qui arrive dans seulement quelques jours. Après la faille Internet Explorer qui a donné lieu à une correction en un temps presque record pour Microsoft, le géant américain doit désormais s'occuper d'une vulnérabilité affectant SQL Server.

Microsoft a confirmé cette vulnérabilité dans un avis de sécurité publié hier. Divulguée publiquement avec code exploit, elle affecte Microsoft SQL Server 2000, Microsoft SQL Server 2005, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2000 Desktop Engine (WMSDE) et Windows Internal Database (WYukon). Les systèmes avec Microsoft SQL Server 2008 notamment ne sont par contre pas concernés par la vulnérabilité.


Un risque faible
Malgré la disponibilité sur la Toile du code exploit, Microsoft n'a pour l'instant pas eu vent d'attaques. Selon ComputerWorld, la vulnérabilité qui a été divulguée il y a en réalité déjà près de deux semaines, est due à une erreur au niveau de la procédure sp_replwritetovarbin utilisée lors de la réplication. Un attaquant peut exploiter cette vulnérabilité s'il est authentifié ou tire parti d'une autre vulnérabilité par injection SQL dans une application Web afin de parvenir à cette authentification. Une exploitation qui ne paraît donc pas des plus aisées.

ComputerWorld note qu'il s'agit du troisième bug sérieux divulgué dans un produit Microsoft ce mois-ci, mais contrairement à la vulnérabilité IE ou WordPad, le risque d'attaques semble faible. La correction pourra donc vraisemblablement attendre le 13 janvier 2009, à défaut d'appliquer les mesures de contournement préconisées par Microsoft dans son avis.
Complément d'information
  • Microsoft annonce SQL Server pour Linux !
    L'un des produits phares - et lucratifs - de Microsoft va être porté sur Linux. Nul autre que le système de gestion de base de données SQL Server.
  • Microsoft : SQL Server 2012 en version RTM
    Microsoft annonce la disponibilité de la version RTM de sa solution SQL Server 2012 taillée pour le cloud computing et évoque sa stratégie Big Data avec Apache-Hadoop pour Windows Azure.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]