涉及程式:
sql server 7.0 / 2000�
描述:
sql server 缺陷可非法更改web任務/提公升使用者許可權(q316333)
詳細:
微軟最近發布了乙個sql server 7.0, sql server 2000, microsoft data engine (msde) 1.0,microsoft desktop engine (msde) 2000 的累積補丁。此累積補丁另外還修復了乙個最近發現的安全缺陷。
sql server 7.0 / 2000 提供了乙個儲存程序,這個儲存程序是 transact-sql 語句的集合。利用這個儲存程序的缺陷和已獲得的對資料庫中某個**的訪問許可權,攻擊者可非法執行,刪除,插入或更改資料庫中其它使用者建立的web任務。
微軟沒有公布這一安全缺陷的詳細技術細節。
使用者如果注意以下兩點將可以有效地控制這一安全缺陷帶來的威脅:
* 攻擊者必須獲得sql伺服器最低階的訪問許可權。
* 攻擊者利用此缺陷可以非法提公升自己的許可權。使sql服務預設是以乙個域使用者許可權執行,而不是以系統許可權執行。
受影響軟體:
microsoft sql server 7.0
microsoft data engine (msde) 1.0
microsoft sql server 2000
microsoft desktop engine (msde) 2000
攻擊方法:
暫無有效攻擊**
解決方案:補丁:
microsoft sql server 7.0:
microsoft sql server 2000:
附加資訊:
can-2002-1145
微軟最新GDI漏洞MS08 052安全解決方案
微軟最新 gdi漏洞 ms08 052 安全解決方案 simeon 微軟於九月九日凌晨爆出有史以來最大的安全漏洞 ms08 052 通過該漏洞,者可以將 藏於中,網民無論是通過瀏覽器瀏覽 還是用各種看圖軟體開啟 或者在即時聊天視窗 電子郵件 office 文件裡檢視這些,只要看了就會感染 哪怕只是看...
用Python DBUtils安全連線mssql
dbutils 是一套允許執行緒化 python 程式可以安全和有效的訪問資料庫的模組 有人在基於pylons的伺服器上測試了使用dbutils前後的效能對比 看上去似乎效能不錯。不失為乙個管理資料庫連線的辦法。但連mysql沒問題,很簡單,from dbutils.pooleddb import ...
微軟重新發布 MS10 025 安全補丁
微軟今天 四月二十八日 重新發布安全補丁 ms10 025 在此重申只有 windows 2000 server 下使用非預設配置且安裝了 windows media services的使用者才需要重新安裝該補丁。以下為原補丁相關資訊。公告 id 公告標題和摘要 最高嚴重等級和漏洞影響 重新啟動要求...