Microsoft, yayınladığı bir güvenlik bülteninde Microsoft’un web programlama tabanı ASP, .NET başta olmak üzer bir çok veritabanı ihtiyacında kullanılan SQL Server 2000 SP4 sürümünden beri yayınlanmış bir çok SQL sunucu yazılımında var olan bir güvenlik açığının varlığını kabul etti. Şirket açığın yamanması için Nisan ayından beri çalışıyor.
Microsoft’un güvenlik bültenine göre, var olan açık uzak bağlantı üzerinden veritabanı sunucusuna bağlanan kötü niyetli kişilerin sp_replwritetovarbin komutunu kullanarak tampon bölge taşması (buffer overflow) yardımıyla karşılığında yanıt bekleyen SQL sorguları (Transactional SQL / T-SQL) çalıştırabilmesine olanak tanıyor.
Microsoft, nasıl kullanılacağı internet üzerinde yayınlanan açığı kapatmak için çalıştığını, henüz bir güvenlik yaması yayınlayamadığını, ancak standart prosedür dışında bir çözüm (workaround) olduğunu belirtti.
Güvenlik bildirisinde yer alan çözüm, sistem yöneticilerinin açık kapatılana kadar, veritebanına yönetici olarak bağlanıp uzaktan bağlantılarda sp_replwritetovarbin komutunun erişime kapatılması salık veriliyor.
- Etiketler :
- Haberler
