发布日期:2003-7-23
漏洞危害:执行攻击者的恶意代码
漏洞等级:重要
受影响系统:
Microsoft SQL Server 7.0
Microsoft Data Engine (MSDE) 1.0
Microsoft SQL Server 2000
Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
Microsoft SQL Server 2000 Desktop Engine (Windows)
漏洞详细描述
Microsoft SQL Server是微软公司开发和维护的大型数据库系统。MS03-031是SQL Server 7.0, SQL Server 2000, MSDE 1.0, 和MSDE 2000的补丁集。
管道劫持漏洞
授权用户登录时,攻击者利用该漏洞登录运行SQL Server 的服务器,进行管道劫持。这时,攻击者将能够获得和授权用户一样的权限。如果尝试远程登陆的授权用户权限高于攻击者,攻击者一样可以在访问中获得相同的权限。
管道拒绝服务攻击漏洞
该漏洞允许未经授权的用户登录运行SQL Server的系统,并允许向特定的管道发送大的数据包,导致该系统无响应。
该漏洞允许攻击者执行恶意代码,并提升攻击者自己的权限。拒绝服务攻击还可能导致不断要求系统重启。
SQL Server缓冲溢出漏洞
授权用户登录运行SQL Server的系统时,发送请求监听LPC端口时,将导致缓冲溢出。如果漏洞利用成功,未授权的访问者能够提升自己的权限,达到能够在服务器上执行恶意代码。
漏洞等级详细描述:
|
SQL 7.0 |
MSDE 1.0 |
SQL 2000 |
MSDE 2000 |
MSDE (Windows) |
综合严重程度 |
| 管道劫持漏洞 |
重要 |
重要 |
重要 |
重要 |
重要 |
重要 |
| 管道拒绝服务攻击漏洞 |
重要 |
重要 |
重要 |
重要 |
重要 |
重要 |
| SQL Server 缓冲溢出漏洞 |
重要 |
重要 |
重要 |
重要 |
重要 |
重要 |
补丁下载:
目前Microsoft已经发布了升级补丁以修复这个安全问题,请到厂商的网站下载:
Microsoft SQL Server 7.0
Microsoft SQL 2000 32-bit Edition
Microsoft SQL 2000 64-bit Edition
相关文章
