Microsoft (NASDAQ:MSFT) yamanın SQL sunucu 7.0 ve 2000 database yazılımlarını etkileyen açıklarını kaplayan bir tampon için geliştirildiğini açıkladı. Açıklamada yazılımdaki hatanın SQL’i durdurduğu ya da SQL sunucu çalışırken, hacker’ların güvenlik bölümüne kendi kodlarını yükleyip, çalıştırabildikleri belirtiliyor. Yama bunları önlemeye yönelik olarak üretildi.
Microsoft “SQL Sunucu çeşitli güvenlik koşullarında veya default olarak bir domain kullanıcı tarafından çalıştırılabilecek şekilde konfigüre edilmiştir. Bazı özel durumlarda saldırganlar hassas öncelikleri alarak, sisteme girebiliyorlar” dedi.
“Saldırgan bu açığı 1 ya da 2 yoldan kullanabiliyor. Bir tanesi ; saldırgan, ulaşabildiği fonksiyonu çalıştırabilecek bir database sorgusu yükleyerek, sistemin içine sızıyor. Bir başka şekilde ise; web sitesi ya da database’in gözüken ucunda bir takım mecburi sorgular, formlar varsa saldırgan bu sorgu/formları çalıştırabilecek veriyi bulabiliyor ve bu yolla sisteme sızmasını sağlayacak fonksiyonları çalıştırabiliyor.
SQL Server 7.0 ve 2000’nin ikisi de dışarıda çalışan ve C gibi bir programlama lisanı ile yazılmış ek prosedürler içerir. Microsoft bu prosedürlerin kullanıcılara normal prosedürmüş gibi gözüktüğünü ve benzer şekilde çalıştığını söylüyor.
SQL 7.0 yamasına burayı tıklayarak ulaşabilirsiniz, SQL Server 2000 yaması ise burada.
7.0 yamasının doğru kurulduğundan emin olmak için, Microsoft Webmaster’lara bireysel dosyaların tarih/zaman damgalarının Microsoft Knowledge Temel Dosyasında listelenmiş dosyalarla karşılaştırılarak, doğrulanmasını tavsiye ediyor.
SQL Server 2000, doğrulanması için gerekli listesi için de burayı tıklayınız