Вчера компания MIcrosoft выпустила сразу два бюллетеня, в котрых уведомила
пользователей SQL Server 2000 об обнаруженных сразу пяти уязвимостях этого пакета. Все уязвимости
были разделены на две группы: наиболее критически потенциально опасные и менее
опасны и сложно реализуемые.
Бюллетень MS02-39
описывает три наиболее потенциально опасных уязвимости в Resolution Service.
В нормальных условиях клиент осуществляет обращение к серверу базы данных по стандартному
порту SQL (1433). Однако SQL Server 2000 позволяет организовать функционирование сразу нескольких серверов
баз данных на одном физическом хосте. В этом случае каждый из серверов баз данных должен использовать
для связи порт отличный от стандартного. SQL ServerResolution Service обрабатывает запросы по 1434 порту и
возвращает клиенту информацию о номере порта на котором функционирует необходимый ему сервер баз данных.
В данной службе было обнаружено сразу три потенциально опасных уязвимости.
Две уязвимости переполнения буфера. При помощи специально сгенерированного запроса
злоумышленник может либо вызвать крах сервера, либо получить над ним управление. Во
втором случае злоумышленник получает управление только над базой данных, но не над всем
сервером в целом. Однако если в процессе инсталляции сервера базы данных использовался
повышенный уровень привилегий, то и атакующий получит эти же самые полномочия и на сервере.
В случае краха сервера базы данных достаточно просто перезапустить SQL.
Отказ в обслуживании. Атакующий имеет возможность значительно снизить производительность
сервера баз данных путем посылки специальным образом сгенерированных "keep-alive" пакетов.
Запросы данного вида используются для сохранения неактивных соединений. Если произвести подмену
адреса на адрес другого SQL сервера, то произойдет закольцовывание запроса, что значительно снизит
производительность сервера.
В бюллетене MS02-038
описаны две менее потенциально опасные уязвимости в наборе прикладных утилит SQL Server 2000.
В комплект поставки SQL Server входит набор консольных команд Database Consistency Chekers (DBCCs),
используемых для выполнения ряда сервисных функций над базами данных. В целом ряде этих утилит
была обнаружена возможность переполнения буфера. В случае исполнения DBCCs с определенным входными
данными, атакующий может либо вызвать крах сервера базы данных, либо получить управление над ним,
но не над всем физическим сервером. Данная уязвимость, в отличии перечисленных выше, имеет в основном
локальный характер.
Вторая уязвимость, указанная в бюллетене MS02-038 крайне сложна для реализации, и требует наличия
активации целого ряда параметров, которые по умолчанию отключены. Более детально ознакомится с механизмом
атаки можно в первоисточнике.
Для устранения обнаруженных уязвимостей настоятельно рекомендуется загрузить и инсталлировать
патчи указанные в бюллетенях MS02-39
и MS02-38.
Переполнение буфера в Exchange 5.5
Немного ранее Microsoft выпустила бюллетень,
в котором уведомляет об обнаруженной уязвимости в почтовом сервере Exchange 5.5, которая позволяет
злоумышленнику получить удаленное управление над атакуемым сервером.
Данная атака является ни чем иным как одной из разновидностью широко распространенного
переполнения буфера. В состав Exchange входит компонент IMC (Internet Mail Connector), который отвечает
за интерпретацию и передачу команд SMTP непосредственно почтовому серверу. Уязвимость заключается
в некорректной обработке входных параметров обратного запроса разрешений DNS при установлении
соединения между почтовыми серверами.
Для устранения этой уязвимости рекомендуется инсталлировать соответствующий
патч
Вирусы
Со времени выхода предыдущего номера рассылки в диком виде
не было обнаружено новых опасных вирусов.
Приводим список 10 наиболее распространенных вирусов:
WORM_KLEZ.H
PE_FUNLOVE.4099
PE_ELKERN.D
WORM_YAHA.E
WORM_HYBRIS.M
HTML_IFRMEXP.GEN
WORM_KLEZ.E
WORM_SIRCAM.A
WORM_YAHA.A
JS_NOCLOSE.E
Осуществить бесплатное сканирование своего компьютера на наличие вирусов
можно, воспользовавшись утилитой
онлайнового сканирования.
Дополнительную информацию можно получить, направив запрос
автору рассылки.
С уважением, Игорь Камолов.
