JVNTR-2008-09
Microsoft SQL Server の sp_replwritetovarbin 拡張ストアドプロシージャの処理における脆弱性

Microsoft SQL Server の sp_replwritetovarbin 拡張ストアドプロシージャのパラメータ処理に脆弱性が存在します。

影響を受けるシステム
　- Microsoft SQL Server 2000 Service Pack 4
　- Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4
　- Microsoft SQL Server 2005 Service Pack 2
　- Microsoft SQL Server 2005 x64 Edition Service Pack 2
　- Microsoft SQL Server 2005 with SP2 for Itanium-based Systems
　- Microsoft SQL Server 2005 Express Edition Service Pack 2
　- Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 2
　- Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
　- Microsoft SQL Server 2000 Desktop Engine (WMSDE)
　- Windows Internal Database (WYukon) Service Pack 2

日時 (JST)	内容
2009-02-12 13:35	IPA/ISEC マイクロソフト SQL Server の脆弱性(MS09-004)について
2009-02-11 06:11	マイクロソフトマイクロソフトセキュリティアドバイザリ (961040): SQL Server の脆弱性により、リモートでコードが実行される SQL Server の sp_replwritetovarbin の制限付きメモリの上書きの脆弱性 (MS09-004, CVE-2008-5416) マイクロソフトは脆弱性について公開された報告の調査を完了し、この問題に対処するためにMS09-004を公開した。
2008-12-24 07:50	シマンテック ThreatCON (2) => (1) 2008年12月9日に報告された SQL Server の脆弱性に関するアドバイザリ発行を報告
2008-12-23 23:13	SANS Internet Storm Center MS ACK's Vulnerability in SQL Server which Could Allow Remote Code Execution According to published reports, the vulnerability was reported to Microsoft in April and "a fix for this vulnerability has been completed", but there's no patch release date mentioned at this time. Exploit code is available.
2008-12-23 21:29	US-CERT Microsoft Releases Security Advisory (961040) US-CERT Current Activity として SQL Server のアドバイザリ公開を報告
2008-12-23 13:51	Microsoft Security Response Center Blog Tuesday 12/23 Update: Microsoft Security Advisory 961040
2008-12-23 12:52	@police SQL Server の脆弱性について(12/23)
2008-12-23 11:28	マイクロソフトマイクロソフトセキュリティアドバイザリ (961040): SQL Server の脆弱性により、リモートでコードが実行されるアドバイザリを公開 Microsoft SQL Server 2000 SP4、Microsoft SQL Server 2005、Microsoft SQL Server 2005 Express Edition、Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)、Microsoft SQL Server 2000 Desktop Engine (WMSDE) および Windows Internal Database (WYukon) のシステムのリモートでコードが実行される脆弱性について調査中
2008-12-22 12:34	Microsoft Security Response Center Blog Microsoft Security Advisory 961040
2008-12-17	Bugtraq Microsoft SQL Server sp_replwritetovarbin() Heap Overflow Exploit sp_replwritetovarbin パラメータ処理に脆弱性 (CVE-2008-4270) #Cid: 32710.html #Tested: Windows 2000 SP4 + SQL Server 2000 #Tested: cpe:/o:microsoft:windows_2000::sp4 + cpe:/a:microsoft:sql_server:2000
2008-12-09 21:16	Bugtraq Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability sp_replwritetovarbin パラメータ処理に脆弱性 (CVE-2008-4270) #Cid: 32710.sql #Tested: SQL Server 2000 #Tested: SQL Server 2005 #Tested: cpe:/a:microsoft:sql_server:2000 #Tested: cpe:/a:microsoft:sql_server:2005
2008-04-17	SEC Consult SA-20081209: Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability 脆弱性をベンダに報告

Vulnerability Note VU#696644
Microsoft SQL Server fails to properly validate parameters to the sp_replwriterovarbin extended stored procedure
Vulnerability Note JVNVU#696644
Microsoft SQL Server の sp_replwritetovarbin 拡張ストアドプロシージャの処理における脆弱性

JVNTR-2008-09 Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシージャの処理における脆弱性

JVNTR-2008-09
Microsoft SQL Server の sp_replwritetovarbin 拡張ストアドプロシージャの処理における脆弱性