マイクロソフトは23日、Microsoft SQL Serverに脆弱性が発見され、脆弱性の検証用コードが一般に公開されたとして、セキュリティアドバイザリ「961040」を公開した。
脆弱性が存在するのは、SQL Server 2000 SP4、SQL Server 2000 Desktop Engine(MSDE 2000)、SQL Server 2000 Desktop Engine(WMSDE)、SQL Server 2005、SQL Server 2005 Express Edition、Windows Internal Database(WYukon)の各製品。SQL Server 7.0 SP4、SQL Server 2005 SP3、SQL Server 2008については脆弱性の影響を受けない。
脆弱性は、SQL Serverのパラメーターチェックの不備により、システム上で任意のコードを実行させられる危険があるというもの。この脆弱性はシステム上で認証されたユーザーでなければ悪用はできないが、Webアプリケーションに対するSQLインジェクション攻撃と組み合わせることで、外部から悪用される危険があるとしている。
また、既にこの脆弱性についての検証用コードが一般に公開されているが、現時点では検証用コードを使用した攻撃は確認していないという。マイクロソフトでは、この問題に対するセキュリティアドバイザリを公開し、攻撃に対する回避策を紹介している。また、現在この問題について調査を行っており、調査完了後にセキュリティ更新プログラムの提供などを行うとしている。
関連情報
■URL
セキュリティアドバイザリ(961040)
http://www.microsoft.com/japan/technet/security/advisory/961040.mspx
( 三柳英樹 )
2008/12/24 13:36
- ページの先頭へ-
|