Notificación de Seguridad sobre SQL Server (961040)

  • Article

Hola, escribe Christian Linacre,

para informarles de un nuevo Documento Informativo de Seguridad Microsoft 961040 recién liberado el día 22 de Diciembre.

Este documento contiene información acerca de la investigación de nuevos reportes públicos de una vulnerabilidad que podría permitir ejecución remota de código en SQL Server

Estamos al tanto de que código de explotación ha sido publicado en Internet para esta vulnerabilidad anunciado por este documento informativo. Nuestra investigación de este código de explotación ha verificado que este no afecta a los sistemas que tengan aplicadas las soluciones provisionales indicadas en el documento. Actualmente, Microsoft no está al tanto de ataques que estén usando activamente este código de explotación o de clientes con problemas en estos momentos.

Esta vulnerabilidad NO es expuesta anónimamente. Un atacante necesitaría o estar autenticado para explotar esta vulnerabilidad o tomar ventaja de una vulnerabilidad de inyección SQL en una aplicación Web que pueda autenticarse.

Es importante notar que sistemas con Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3, and Microsoft SQL Server 2008 NO son afectadas por este problema.

Adicionalmente, como factores de mitigación para las instalaciones por defecto de MSDE 2000 y SQL Server 2005 Express, no estamos al tanto de ninguna aplicación de terceros que use MSDE 2000 o SQL Server 2005 Express que pudieran ser vulnerables a un ataque remoto. Sin embargo, estamos monitoreando activamente la situación para proveer guía a los clientes cuando sea necesario.

Cualquiera que crea que haya sido afectado puede en español con Microsoft: https://support.microsoft.com/contactuso consultar en este mismo blog.

Continuaremos publicando información apenas la tengamos en este mismo blog. Así como también en el blog del Microsoft Security Response Center.

Saludos, Christian.-

Technorati: Alertas,Boletines,SQL Server,Seguridad,Notificaciones

del.icio.us: Alertas,Boletines,SQL Server,Seguridad,Notificaciones