エンタープライズ:ニュース | 2003/07/24 12:01:00 更新 |
マイクロソフト、SQL ServerおよびMSDE向けに累積的なパッチを公開
マイクロソフトは7月24日、3種類のセキュリティ修正プログラムを公開した。うち1つは、Microsoft SQL Server 7.0/2000およびMicrosoft Data Engine (MSDE) 1.0/2000向けの累積的な修正プログラムだ。
マイクロソフトは7月24日、Microsoft SQL Server 7.0/2000およびMicrosoft Data Engine (MSDE) 1.0/2000向けの累積的な修正プログラムを公開した。
この累積的な修正プログラム(MS03-031)では、過去のセキュリティホールに加え、新たに3つのセキュリティホールが修正されている。
うち2つは、名前付きパイプのチェックに原因がある。これを悪用してセッションのハイジャックが可能になるおそれがあるほか、SQL Serverに対するサービス妨害(DoS)攻撃の可能性がある。またWindowsの機能に存在する問題が原因となり、SQL Serverにログオンしたユーザーが細工を施したパケットをLPCポートに送り込むことでバッファオーバーフローが生じるという問題点も指摘されている。
マイクロソフトはこれら3つのセキュリティホールの深刻度を「重要」としている。ただし、いずれの脆弱性もローカルシステムへのログオンが必要であり、リモートからの悪用は困難だ。
この累積的なパッチは、同社Webサイトより入手できる。SQL Serverを運用している場合はもちろん速やかな適用が望ましいし、SQL Slammerが発生した際に指摘されたとおり、MDSAは多くのアプリケーションで利用されているため、注意が必要だ。
ただ、この累積的なパッチには、システムにパスワードが残ってしまうという問題(MS02-035)を修正するツールは含まれていない。Microsoft Data Access Components (MDAC) やOnline Analytic Processing (OLAP) の問題を修正するパッチも含まれていないため、別途適用する必要がある。
関連記事MS、Slammerの反省踏まえ「SQL Server 2000 Service Pack 3a」公開
Slammerが残した真の問題点と教訓
SQL Server 2000用累積パッチ公開、できるだけ速やかな適用を
関連リンク
MS03-031: Microsoft SQL Server 用の累積的な修正プログラム (815495)(日本語要約情報)
MS03-031: Cumulative Patch for Microsoft SQL Server (815495)(英文詳細情報)
@stake Security Advisory: Microsoft SQL Server Local Code Execution
@stake Security Advisory: Microsoft SQL Server DoS
[ITmedia]