ニュース
» 2008年12月24日 08時22分 UPDATE

エクスプロイトコードも公開:SQL Serverに未解決の脆弱性

MicrosoftのSQL Serverにリモートからコードを実行させる脆弱性が見つかった。

[ITmedia]

 MicrosoftのSQL Serverに未解決の脆弱性が見つかり、12月22日付でアドバイザリーが公開された。この脆弱性を突いたエクスプロイトコードも公開されているという。

 Microsoftのアドバイザリーによると、脆弱性はMSSQLの拡張ストアドプロシージャ「sp_replwritetovarbin」の不適切なパラメータ検証に起因する。悪用された場合、リモートからコードを実行させることが可能になる。この問題を突いたエクスプロイトコードがインターネットで公開されたが、現時点でそのコードを使って実際に攻撃が仕掛けられたり、ユーザーが影響を受けたりしたという情報は入っていないという。

 脆弱性が存在するのはSQL Server 2000、SQL Server 2005/Express Edition、SQL Server 2000 Desktop Engine (MSDE 2000)、SQL Server 2000 Desktop Engine (WMSDE)、Windows Internal Database (WYukon)の各製品とバージョン。一方、SQL Server 7.0 SP4、SQL Server 2005 SP3、SQL Server 2008は影響を受けない。

 この脆弱性は、システム上で認証されたユーザーでなければ悪用できないが、攻撃側がSQLインジェクションを使って事前にWebサーバを制御していた場合、認証されたユーザーでなくても悪用できるという。

 Microsoftはアドバイザリーで、当面の攻撃をかわすための回避策を紹介。社内調査を完了後、サービスパックや月例セキュリティアップデートまたは臨時アップデートを通じて適切な措置を取るとしている。

過去のセキュリティニュース一覧はこちら

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -