公開日:2002/11/18 最終更新日:2002/11/18

JVNCA-2002-22
Microsoft SQL Server に複数の脆弱性

概要


Microsoft SQL Server 7.0, 2000 および Desktop Engine 2000 には、遠隔から第三者が重要な情報の取得、データベースの内容の改ざん、SQL Server や関連する設定の侵害ならびに、サーバホスト自身の侵害を可能とする、いくつかの深刻な脆弱性があります。
最も深刻な脆弱性については、遠隔から任意のコードを実行される可能性があります。

影響を受けるシステム

詳細情報

想定される影響


遠隔から第三者がサーバプログラムのプロセス権限を取得する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2002-22に対する富士通の情報
富士通 CA-2002-22に対するSolaris OEの情報
日立 SQL Server 2000 および Microsoft Desktop Engine 2000 (MSDE 2000) に関するセキュリティ問題の説明
マイクロソフト SQL 拡張プロシージャ機能に未チェックのバッファが含まれる (Q319507) (MS02-020)
マイクロソフト SQL Server 用の累積的な修正プログラム (Q316333) (MS02-034)
マイクロソフト SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) (MS02-039)

参考情報

  1. JVNCA-2003-04
    MS-SQL Server ワーム
  2. CERT Vulnerability Note VU#796313
    Microsoft SQL Server service account registry key has weak permissions that permit escalation of privileges
  3. CERT Vulnerability Note VU#225555
    Microsoft SQL Server contains buffer overflow in pwdencrypt() function
  4. CERT Vulnerability Note VU#627275
    Microsoft SQL Server extended stored procedures contain buffer overflows
  5. CERT Vulnerability Note VU#399260
    Microsoft SQL Server 2000 contains heap buffer overflow in SQL Server Resolution Service
  6. CERT Vulnerability Note VU#484891
    Microsoft SQL Server 2000 contains stack buffer overflow in SQL Server Resolution Service
  7. CIAC Bulletin M-069
    Microsoft SQL Server Unchecked Buffer Vulnerabilities
  8. CIAC Bulletin M-099
    Microsoft Cumulative Patch for SQL Server
  9. CIAC Bulletin M-102
    Microsoft SQL Server 2000 Resolution Service Buffer Overflow Vulnerabilities
  10. ISS X-Force Database: mssql-multiple-xp-bo (8359)
    Microsoft SQL Server multiple extended stored procedure buffer overflows
  11. ISS X-Force Database: mssql-pwdencrypt-bo (9345)
    Microsoft SQL Server pwdencrypt() buffer overflow
  12. ISS X-Force Database: mssql-resolution-service-bo2 (10031)
    Microsoft SQL Server Resolution Service stack buffer overflow
  13. ISS X-Force Database: sql-slammer-worm (11153)
    SQL Slammer worm propagation
  14. V-STAF: mssql-registry-insecure-permissions (9523)
    Microsoft SQL Server サービスアカウントを含む不正なレジストリキーのパーミッション
  15. V-STAF: mssql-resolution-service-bo (9661)
    Microsoft SQL Server Resolution Service におけるバッファオーバフロー
  16. LAC
    CERT Advisory CA-2002-22 Multiple Vulnerabilities in Microsoft SQL Server [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-3001
JPCERT/CC REPORT 2002-08-07
CERT Advisory CERT Advisory CA-2002-22
Multiple Vulnerabilities in Microsoft SQL Server
CPNI Advisory
TRnotes
CVE CAN-2002-0154
VU#627275,XF8359
CAN-2002-0624
VU#225555,XF9345
CVE-2002-0642
VU#796313,XF9523
CAN-2002-0649
VU#399260,VU#484891,XF9661,XF10031,XF11153
JVN iPedia