Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Fallas en Exchange 5.5 y SQL Server 2000
 
VSantivirus No. 749 - Año 6 - Sábado 27 de julio de 2002

 Fallas en Exchange 5.5 y SQL Server 2000
http://www.vsantivirus.com/vulms-036-039.htm

Por Alejandro Germán Rodriguez
Peligros_en_la_red-owner@onelist.com

Microsoft emitió una serie de parches de seguridad para distintos productos de su propiedad. La mayoría de ellos deberían ser de interés para administradores de servidores de bases de datos y aquellos que utilicen Microsoft Exchange Server 5.5.


[MS02-036]

El primero de los boletines emitidos [MS02-036], se refiere a una falla detectada en los servicios Microsoft Metadirectory v2.2.

Esta falla consiste en la posibilidad que un atacante obtenga una elevación de privilegios, evitar restricciones de seguridad y acceder a información sensible.

Los servicios Microsoft Metadirectory permiten centralizar y administrar información y datos de fuentes heterogéneas, su uso no es común y esta reservado a grandes corporaciones.

El problema se presenta a la hora de validar las credenciales de quienes acceden a la información, y para explotar esta falla con éxito se requiere tanto conocimientos técnicos, como así también de la arquitectura interna del blanco del ataque.

Con la correcta utilización de cortafuegos (bloqueo del puerto 389) esta falla no debería poder ser explotada desde la Internet.

Más información
http://www.microsoft.com/technet/security/bulletin/MS02-036.asp

Microsoft Metadirectory Services 2.2 Service Pack 1:
http://download.microsoft.com/download/mms22/Patch/Q317138/NT5/EN-US/Q317138.EXE


[MS02-037]

El segundo [MS02-037], se refiere a una falla en un componente de Microsoft Exchange Server 5.5, que permitiría producir un desbordamiento de buffer.

Dicho componente permite la interoperatividad con servidores de correo distintos al Exchange.

Como siempre de acuerdo a la clase de información con que se desborde el buffer, será el resultado que se obtendrá, ya sea el colapso del servidor o la ejecución de código arbitrario, utilizando información al azar o cuidadosamente escogida, respectivamente.

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-037.asp

Parche para Microsoft Exchange 5.5 Service Pack 4:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40666


[MS02-038]

El tercer boletín [MS02-038], se refiere a dos nuevas falla descubierta en Microsoft SQL Server 2000 y Microsoft Desktop Engine (MSDE) 2000.

Una de estas fallas se refiere a varias condiciones de desbordamiento de buffer que se presentan en ciertas utilidades incluidas junto con SQL Server 2000, utilizadas para tareas recurrentes de administradores, tales como desfragmentación o reparaciones menores.

Una explotación exitosa de esta falla permitiría ejecutar código malicioso (en un caso extremo) y eventualmente obtener el control completo de la base de datos.

Dadas ciertas condiciones permitiría también, la elevación de privilegios a usuarios autorizados.

La otra falla detectada afecta una serie de procesos que se incluyen junto con SQL Server 2000, dichos procesos no validan correctamente las entradas dadas, pudiendo eventualmente incluir instrucciones que se ejecutarán.

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-038.asp

Parche SQL Server 2000:
http://support.microsoft.com/support/misc/kblookup.asp?id=Q316333


[MS02-039]

El último boletín emitido [MS02-039], se refiere a tres fallas detectadas también en Microsoft SQL Server 2000 y Microsoft Desktop Engine (MSDE) 2000. Dos de éstas se presentan en una serie de funciones en SQL Server Resolution Service que podrían conducir a posibles desbordamientos de buffer y eventualmente a colapsar el servidor o ejecutar código arbitrario.

La tercera se refiere a la posibilidad de lanzar un ataque de negación de servicios, mediante el envío de un paquete especial de datos, que provocaría que el servidor entre en un bucle sin fin, consumiendo todos sus recursos, e impidiendo la utilización de sus servicios.

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

Microsoft SQL Server 2000 and MSDE 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602


Es de destacar que todas las fallas aquí comentadas han sido catalogadas como de riesgo Moderado, excepto las del último boletín, que revisten la categoría de riesgo Crítico.


(*) Alejandro Germán Rodriguez mantiene la lista de seguridad "Peligros en la Red", y es un asiduo colaborador de VSAntivirus.

Peligros_en_la_red-owner@onelist.com
http://es.egroups.com/group/Peligros_en_la_red
ICQ # 44796626



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS