Rischio di Remote Code Execution per SQL Server - Workarounds

Buon giorno a tutti.

Breve interruzione della “pausa Natalizia” per segnalarvi della documentazione relativa al rischio di “Remote Code Execution” scoperto durante la settimana scorsa per alcune edizioni di SQL Server:

• Microsoft SQL Server 2000 SP4
• Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP4
• Microsoft SQL Server 2000 Desktop Engine (WMSDE)
• Microsoft SQL Server 2005 SP2
• Microsoft SQL Server 2005 Express Edition SP2
• Windows Internal Database (WYukon) SP2.

Non sono affetti da questo problema:

• Microsoft SQL Server 7.0 SP4
• Microsoft SQL Server 2005 SP3
• Microsoft SQL Server 2008.

Il problema è dovuto ad un controllo errato sui possibili parametri della extended stored procedure sp_replwritetovarbin, e come workaround è possibile eliminare il permesso di  Execute sulla stored procedure stessa.

E’ stato pubblicato su Internet del codice malevolo (exploit) che sfrutta la vulnerabilità scoperta, e che quindi potrebbe essere utilizzato per colpire i sistemi a rischio. La vulnerabilità in ogni caso necessita di essere autenticati con successo sul SQL Server remoto e alcune edizioni di SQL Server (ad esempio MSDE e la Express Edition) hanno di default disattivate le conessioni remote al database server.

SQL Server 2005 Service Pack 3 e SQL Server 2008 sono inoltre immuni da questo problema.

Vi segnalo della documentazione di approfondimento:

• Microsoft Security Advisory (961040)
• Workaround for Microsoft Security Advisory 961040
• How to identify your SQL Server version and edition
• More information about the SQL stored procedure vulnerability.

Vi terremo aggiornati appena verrà reso disponibile un Security Update relativo a questo problema.

Renato

Comments

• Anonymous
  December 29, 2008
  The comment has been removed