Oudere versies van SQL Server onder vuur van hackers
Het bestaan van het lek is in april gemeld bij Microsoft door het Oostenrijkse SEC Consult. In september meldde Microsoft dat een patch klaar was. Nu die patch nog steeds niet vrijgegeven is, dacht SEC Consult kennelijk de zaken te forceren door details van het lek vrij te geven op onder andere BugTraq en Full Disclosure. Het enige effect tot nog toe is dat er nu pogingen tot misbruik van het lek zijn waargenomen op internet.
Shutterstock
Shutterstock
Het probleem schuilt in de ‘extended stored procedure’ sp_replwritetovarbin van oudere versies van SQL Server. Versies SQL Server 7.0 Service Pack 4 (SP4), SQL Server 2005 SP3 en SQL Server 2008 hebben er geen last van. Hackers kunnen misbruik maken van de zwakke plek als ze zich toegang tot het systeem weten te verschaffen via een SQL-injectieaanval tegen een webapplicatie die draait op dat systeem. Dergelijke aanvallen zijn het afgelopen jaar al enkele malen met groot succes uitgevoerd, deels omdat er steeds nieuwe kwetsbare plekken voor dat type aanval worden gevonden, en deels ook omdat niet alle systemen goed gepatcht blijken te worden.
Ondanks het toegenomen gevaar heeft Microsoft de patch die volgens SEC Consult in september klaar was, nog steeds niet gepubliceerd. Waarom dat niet gebeurt, is niet bekend. Wel is er een lapmiddel bedacht. Die workaround wordt beschreven in een beveiligingsadvies van Microsoft.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee