Microsoft, güvenlik bülteninde SQL Server'da bulunan ve kritik olarak nitelendirilen bir güvenlik açığı konusunda müşterilerini uyardı. Güvenlik açığı stored procedure içinde bulunan sp_replwritetovarbin'den kaynaklanmakta ve dışarıdan bir saldırganın SQL Server işlemlerinde kod çalıştırmasına sebebiyet verebilmekte. Varsayılan ayarı tüm SQL Server'larda açık olan stored procedure yapısı SQL Injection saldırılarını da doğurabilir.
Güvenlik açığı; SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine ve Windows Internal Database'de bulunmakta. Microsoft bu güvenlik açığını kullanıcıların kendilerinin kapatması gerektiğini bildirdi. Microsoft'un bu güvenlik açığı için ne zaman bir yama çıkaracağı ise henüz belli değil.
Hiç yorum yok:
Yorum Gönder