Rischio di Remote Code Execution per SQL Server – Workarounds


Buon giorno a tutti.

Breve interruzione della “pausa Natalizia” per segnalarvi della documentazione relativa al rischio di “Remote Code Execution” scoperto durante la settimana scorsa per alcune edizioni di SQL Server:

  • Microsoft SQL Server 2000 SP4
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP4
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE)
  • Microsoft SQL Server 2005 SP2
  • Microsoft SQL Server 2005 Express Edition SP2
  • Windows Internal Database (WYukon) SP2.

Non sono affetti da questo problema:

  • Microsoft SQL Server 7.0 SP4
  • Microsoft SQL Server 2005 SP3
  • Microsoft SQL Server 2008.

Il problema è dovuto ad un controllo errato sui possibili parametri della extended stored procedure sp_replwritetovarbin, e come workaround è possibile eliminare il permesso di  Execute sulla stored procedure stessa.

E’ stato pubblicato su Internet del codice malevolo (exploit) che sfrutta la vulnerabilità scoperta, e che quindi potrebbe essere utilizzato per colpire i sistemi a rischio. La vulnerabilità in ogni caso necessita di essere autenticati con successo sul SQL Server remoto e alcune edizioni di SQL Server (ad esempio MSDE e la Express Edition) hanno di default disattivate le conessioni remote al database server.

SQL Server 2005 Service Pack 3 e SQL Server 2008 sono inoltre immuni da questo problema.

Vi segnalo della documentazione di approfondimento:

Vi terremo aggiornati appena verrà reso disponibile un Security Update relativo a questo problema.

Renato