Spannende Technet Artikel

Im letzten Microsoft Security Newsletter wurde auf zwei spannende Technet-Artikel mit SQL Server Themen verwiesen:

Beide Artikel bieten auf viel Informationen auf hohem Level und den einen oder anderen Anreiz, doch mal die eigenen Installationen bzw. Applikationen ein wenig zu checken.

Viel Spaß beim lesen…

Microsoft Security Advisory 961040

Wie ich bereits am 11.12.2008 berichtete, gibt es eine Sicherheitslücke in MS SQL Server 2000 und MS SQL Server 2005 in der Stored Procedure sp_replwritetovarbin durch eine fehlerhafte Parameterprüfung. Dazu hat MS am 22.12.2008 das korrespondierende Security Advisory veröffentlich, welches hier zu finden ist: Microsoft Security Advisory (961040)

Sicherheitslücke in MS SQL Server 2000 und MS SQL Server 2005

Der Newsdienst von Heise berichtete am 09.12.2008 über eine Sicherheitslücke im MS SQL Server 2000. Wenn man den Sicherheitsbericht der Firma SEC Consult allerdings liest, wird man feststellen das es sich dabei nicht nur um eine Sicherheitslücke im MS SQL Server 2000 handelt, sondern auch im MS SQL Server 2005. SEC hat hier mit Build 9.0.1399 getestet, bei mir lässt sich das Problem mit Build 9.0.3233 ebenfalls noch immer nachvollziehen.

Ein kurzer Test unter MS SQL Server 2008 (Buildnummer 10.0.1600) brachte lediglich die folgende Meldung:

Command(s) completed successfully.

So wollen wir das ja am Ende auch haben.