Publié le: 26/12/2008 @ 10:10:29: Par zion Dans "Sécurité"
Microsoft vient d'annoncer qu'ils sont été mis au courant d'une nouvelle faille affectant son serveur SQL, Microsoft SQL Server. La faille est déjà détaillée par les pirates sur la toile mais non encore corrigée.
Il semblerait qu'il soit possible de modifier les données sur le serveur via un exploit d'exécution à distance de code. Pour que l'exploit soit possible il faut tout de même avoir d'abord réussi à se connecter et s'identifier auprès du serveur, sans accès public anonyme on n'a donc en principe rien à craindre. Microsoft prévient aussi que pour le moment seul SQL Server 2000, 2005, 2005 Epxress, 2000 Desktop et Windows Internal Database sont vulnérables, les version 7.0, 2005 SP3 et 2008 ne le sont pas.
Pas encore de correctif mais une demande de surveillance accrue, et en cas de doute Microsoft demande qu'on les contacte immédiatement.
Il semblerait qu'il soit possible de modifier les données sur le serveur via un exploit d'exécution à distance de code. Pour que l'exploit soit possible il faut tout de même avoir d'abord réussi à se connecter et s'identifier auprès du serveur, sans accès public anonyme on n'a donc en principe rien à craindre. Microsoft prévient aussi que pour le moment seul SQL Server 2000, 2005, 2005 Epxress, 2000 Desktop et Windows Internal Database sont vulnérables, les version 7.0, 2005 SP3 et 2008 ne le sont pas.
Pas encore de correctif mais une demande de surveillance accrue, et en cas de doute Microsoft demande qu'on les contacte immédiatement.
Liens
Microsoft Confirms New SQL Server Threat (317 Clics)
Envoyer une nouvelle à un ami