Microsoft stopft Sicherheitsloch im SQL Server

Einige der in Microsofts Datenbankservern SQL Server 7.0 und 2000 enthaltenen so genannten erweiterten Stored Procedures unterlassen es fahrlässigerweise, die ihnen übergebenen Parameter zu überprüfen, und sind dadurch anfällig gegen Buffer Overflows. Potenzielle Angreifer könnten diesen Lapsus ausnutzen, um den Server zum Absturz zu bringen oder eigenen Code einzuschleusen. Darauf weist Microsoft in einem gestern veröffentlichten Security Bulletin hin und bietet auch gleich Abhilfe: Administratoren sollten einen von zwei Patches installieren, die für den SQL Server 7.0 beziehungsweise für die 2000er Version bereitstehen. Voraussetzung für deren Installation ist, dass der Server bereits mit dem jeweils neuesten Service Pack (SP3 für Version 7.0, SP2 für den SQL Server 2000) versehen ist.

Microsoft stuft die jetzt entdeckten Fehler nur als mäßig gefährlich ein, denn ein Hacker kann sie nur dann wirksam ausnutzen, wenn der Administrator zuvor geschlafen hat: Bei sorgfältiger Konfiguration der Datenbank bekommen die betroffenen Funktionen von vornherein keine ungeprüften SQL-Abfragen übergeben. Selbst wenn das passieren sollte, würde eingeschleuster Programmcode nur im Sicherheitskontext der Datenbank ausgeführt werden, und den sollte man nach gängiger Praxis möglichst restriktiv einstellen. Bevor Administratoren einen der neuen Patches einspielen, sollten sie daher zunächst einmal über die Sicherheit ihrer Datenbank insgesamt nachdenken und beispielsweise offene Administratorzugänge schließen. (hos)