Sicherheitslöcher im Microsoft SQL Server

Microsoft warnt auf seiner TechNet-Security-Website vor zwei neu entdeckten Sicherheitslöchern im SQL Server. Betroffen sind die Versionen 7.0 und 2000 des Redmonder Datenbankservers. Ursache für beide Angriffsmöglichkeiten sind ungeprüfte Textpuffer, über die ein Eindringling einen so genannten Buffer Overflow verursachen könnte.

Im ersten Fall ist der Schuldige das Datenbankprogramm selbst. Ein potenzieller Angreifer könnte damit beliebigen Code auf dem Server zur Ausführung bringen. Datenbankadministratoren empfiehlt Microsoft, die für den SQL Server 7.0 beziehungsweise für die Version 2000 bereitstehenden Patches zu installieren. Ursache für die zweite Lücke ist ein Fehler in der C-Runtime von Windows NT 4.0, 2000 und XP. Dieser Fehler, den Microsoft für weniger schwerwiegend hält, ermöglicht es einem Hacker "lediglich", den Server zum Absturz zu bringen -- eigener Code lässt sich damit nicht ausführen. Da die für Windows NT und 2000 sowie für Windows XP verfügbaren Patches nicht ausgiebig getestet und Nebenwirkungen auf andere Programme nicht auszuschließen sind, empfiehlt Microsoft deren Einsatz daher nur auf Servern, die "einem hohen Risiko ausgesetzt sind".

Um eine dieser neu entdeckten Sicherheitslücken auszunutzen, müsste sich ein Angreifer zunächst einmal in die Lage versetzen, beliebige SQL-Befehle in der Datenbank auszuführen -- und wer das geschafft hat, dem stehen weit mächtigere Möglichkeiten offen. Bevor Administratoren einen der neuen Fixes einspielen, sollten sie daher zunächst einmal über die Sicherheit ihrer Datenbank insgesamt nachdenken und beispielsweise offene Administratorzugänge schließen. (hos)