На сайте корпорации Microsoft размещены средства коррекции двух ошибок в SQL Server 7.0 и 2000, делающих программный продукт уязвимым для хакеров. Одной из ошибок присвоен "средний" уровень опасности, другой - "низкий".
Первая "брешь" заключается в возможности запуска произвольного кода при определенных настройках безопасности; поскольку функции генерации текста SQL Server, выдаваемого в ответ на запросы, ограничивают его длину емкостью выделенного системой буферного пространства, атакующий имеет возможность вызвать ошибку переполнения буфера. Вторая ошибка может сделать базу данных уязвимой для DoS-атак. "Брешь" открывается, когда С-функции, входящие в состав Windows NT 4.0, Windows 2000 и XP, воспринимают текст для вывода, не проверяя его на ошибки форматирования. Средство коррекции первой ошибки Microsoft советует установить на все системы с уязвимыми SQL Server. Вторую же "заплатку" рекомендуется установить лишь на системы, подверженные "высокому риску", поскольку само средство коррекции неполноценно и может нанести ущерб системе. Администраторам остальных систем рекомендовано подождать выхода очередного сервисного комплекта для SQL Server, в который будут включены обе "заплатки".
Служба новостей IDG, Латинская Америка