漏洞信息详情
Microsoft SQL Server远程拒绝服务攻击漏洞(MS03-031)
- CNNVD编号:CNNVD-200308-199
- 危害等级: 低危
- CVE编号: CVE-2003-0231
- 漏洞类型: 其他
- 发布时间: 2003-07-23
- 威胁类型: 远程
- 更新时间: 2006-09-01
- 厂 商: microsoft
- 漏洞来源: Andreas Junestam※ ...
漏洞简介
Microsoft SQL Server是微软公司开发和维护的大型数据库系统。 Microsoft SQL Server在处理超长有名管道请求时存在问题,远程攻击者可以利用这个漏洞对数据库服务进行拒绝服务攻击。 Microsoft SQL Server支持通过有名管到进行SQL查询,这个管道允许\"Everyone\"组进行写访问,因此可以被任何本地和远程用户无需验证进行访问。通过发送超大请求到这个管道(大小根据服务包的级别来定),可导致服务停止响应。根据补丁包级别的不同,产生的效果也不同: SQL Server 2000 pre-SP3: SQL服务会崩溃,需要重新启动。 SQL Server 2000 SP3: SQL服务看起来正常(没有不正常CPU或内存使用率),但是不能响应任何请求。并且不能停掉服务,需要重新启动主机来获得正常功能。
漏洞公告
厂商补丁: Microsoft --------- Microsoft已经为此发布了一个安全公告(MS03-031)以及相应补丁:
MS03-031:Cumulative Patch for Microsoft SQL Server (Q815495)
链接: http://www.microsoft.com/technet/security/bulletin/MS03-031.asp
补丁下载:
Microsoft SQL Server 7.0:
http://microsoft.com/downloads/details.aspx?FamilyId=FE5B0892-A5C9-44C2-9B42-0D291E9C1636&displaylang=en
Microsoft SQL 2000 32-bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=9814AE9D-BD44-40C5-ADD3-B8C99618E68D&displaylang=en
Microsoft SQL 2000 64-bit Edition:
http://microsoft.com/downloads/details.aspx?FamilyId=72336508-057A-4E86-8F2E-CB1BD3A6A44B&displaylang=en
参考网址
来源:US-CERT Vulnerability Note: VU#918652 名称: VU#918652 链接:http://www.kb.cert.org/vuls/id/918652 来源: MS 名称: MS03-031 链接:http://www.microsoft.com/technet/security/bulletin/MS03-031.asp 来源: ATSTAKE 名称: A072303-2 链接:http://www.atstake.com/research/advisories/2003/a072303-2.txt 来源: US Government Resource: oval:org.mitre.oval:def:299 名称: oval:org.mitre.oval:def:299 链接:http://oval.mitre.org/repository/data/getDef?id=oval:org.mitre.oval:def:299
受影响实体
- Microsoft Data_engine:1.0
- Microsoft Sql_server:7.0
- Microsoft Sql_server:7.0:Sp1
- Microsoft Sql_server:7.0:Sp2
- Microsoft Sql_server:7.0:Sp3
补丁
暂无
评论