• Microsoft SQL Server 7.0
• Microsoft Data Engine (MSDE) 1.0
• Microsoft SQL Server 2000
• Microsoft Desktop Engine (MSDE) 2000

Esta actualización es acumulativa, e incluye todas las anteriores.

Corrige cuatro nuevas vulnerabilidades, una de ellas calificada como crítica, ya que permite a un atacante tomar el control de un servidor vía remota.

Las fallas corregidas en esta actualización son:

1. Desbordamiento de búfer en una sección de código de SQL Server 2000 y MSDE 2000, relacionado con el proceso de autenticación de usuarios.

2. Vulnerabilidad de desbordamiento de búfer en Database Console Commands (DBCCs), que se incluye en el mismo paquete de SQL Server 7.0 y 2000.

3. Problema asociado con los trabajos programados de SQL Server 7.0 y 2000, que posibilita a un usuario sin privilegios crear trabajos programados que serán ejecutados por SQL Server Agent.

Por diseño, SQL Server Agent solo debe permitir trabajos programados que tengan los mismos privilegios del usuario que los solicita. Sin embargo, cuando un trabajo crea un archivo de salida de datos, SQL Server Agent le da a este archivo sus privilegios, antes que los privilegios del dueño del trabajo. Esto puede permitir que un usuario cree un archivo con ordenes críticas (como copiar, borrar o ejecutar un archivo), que comprometa la seguridad del sistema al tener permisos de ejecución de administrador.

4. Cambia el funcionamiento de SQL Server para evitar que los usuarios sin permiso de administrador ejecuten determinadas consultas en las fuentes de datos OLEDB no-SQL, con el consiguiente riesgo en la seguridad del sistema.

La actualización se puede obtener de:

Microsoft SQL Server 7.0:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q327068&sd=tech

Microsoft SQL Server 2000:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333&sd=tech

Más información:
http://www.microsoft.com/technet/security/bulletin/MS02-056.asp



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com