Microsoft Security Bulletin MS02-034 - Cumulative Patch for SQL Server (Q316333)

Hagi01 · 11.07.2002, 07:52

Who should read this bulletin: Database administrators using Microsoft® SQL Server™ or Microsoft SQL Server Desktop Engine (MSDE) 2000.

Impact of vulnerability: Three new vulnerabilities, the most serious of which could run code of attacker’s choice on server.

Maximum Severity Rating: Moderate

Recommendation: Apply the patch immediately to affected systems.

Affected Software:

Microsoft SQL Server 2000 all editions.
Microsoft SQL Server Desktop Engine (MSDE) 2000.

http://support.microsoft.com/support...asp?id=Q316333

e2e4 · 11.07.2002, 12:24

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des Microsoft Product
Security Notification Service ueber Sicherheitsprobleme im Microsoft
SQL Server. Wir geben diese Informationen unveraendert an Sie weiter.

Es werden zwei Umstaende beschrieben, unter denen bei der Installation
des SQL Server ein Logfile angelegt wird, welches gueltige Passwoerter
enthaelt:

Fuer eine automatische Installation wird die Datei setup.iss angelegt,
welches das Passwort des Server Administrators enthaelt. Das Passwort
wird beim SQL Server 7 (vor Service Pack 4) unverschluesselt
gespeichert - sonst mit (laut Microsoft) unzureichender
Verschluesselung.

Wird bei der Installation ausgewaehlt, dass verschiedene Hilfsprogramme
des SQL Servers automatisch starten, so muessen dafuer Account und
Passwort eines Domain User angegeben werden. Diese stehen ebenso in der
Datei setup.iss und in einem Logfile.

Die Dateien werden - sofern Standard-Einstellungen gegeben - fuer alle
User lesbar in einem der folgenden Verzeichnisse angelegt:

C:\winnt
C:\winnt\temp
C:\Program Files\Microsoft SQL Server\mssql\install

Betroffen sind der SQL Server 7 und 2000, sowohl die Microsoft Data
Engine (MSDE) 1.0.

Die Datei setup.iss kann zur automatischen Installation weiterer
Server genutzt werden. Das Logfile ermoeglicht die Kontrolle der
Installation. Beide Dateien werden nicht aktualisiert - wurde das
Passwort geaendert, so ist die neue Version nicht enthalten.

Der Hersteller empfiehlt, die Dateien zu loeschen, oder in einen nicht
fuer User zugaenglichen Verzeichnis zu lagern. Es wird weiterhin ein
Tool zur Verfuegung gestellt, welches das Passwort aus dem Logfile
entfernt.

Das DFN-CERT bietet einen Mirror der Inhalte des FTP-Servers von
Microsoft mit den dort bereitgestellten Patches und Service-Packs fuer
die us-amerikanische und deutsche Sprachversion von verschiedenen
Windows Versionen und des Internet Explorers an:

ftp://ftp.cert.dfn.de/pub/vendor/microsoft/

(c) der deutschen Zusammenfassung bei DFN-CERT GmbH; die Verbreitung,
auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT
GmbH, und nur zu nicht kommerziellen Zwecken gestattet.

e2e4 · 30.07.2002, 09:03

Das vorliegende Advisory fasst die 5 schwerwiegendsten Schwachstellen
im MS SQL Server 7.0 und 2000 sowie der MS SQL Server Desktop Engine
2000 zusammen, die seit Dezember 2001 bekannt geworden sind.

Jede der Schwachstellen ist einzeln in vielen Faellen nur schwer
ausnutzbar, jedoch kann ein Angreifer durch kombiniertes Ausnutzen
mehrerer der Schwachstellen relativ leicht einen Root Compromise auf
dem Opfersystem herbeifuehren.

Die folgenden beiden Schwachstellen wurden im MS Advisory MS02-034 (am
11. Juli 2002 ueber win-sec-ssc verschickt) behandelt:

VU#796313: Fehlerhafte Berechtigungen in der Registry (Privilege Escalation)

Die Berechtigungen auf dem Schluessel der Systemregistrierung, in
welchem die Informationen zum Service Account des SQL Servers
gespeichert sind, sind falsch gesetzt. Somit koennte ein Angreifer
seine Berechtigungen auf dem Server durch Manipulation an diesem
Schluessel erweitern, bis hin zu den Berechtigungen des lokalen
Systems.

VU#225555: Buffer Overflow Bug in der pwdencrypt() Funktion

Durch Ausnutzen dieser nicht naeher beschriebenen Schwachstelle
koennte ein Angreifer unberechtigten Zugriff auf die Datenbanken oder
sogar den kompletten Server erhalten. Die Auswirkung dieser
Schwachstelle haengt ab vom Benutzerkontext, in dem der SQL Server
laeuft.

Die folgende Schwachstelle wurden im MS Advisory MS02-020 (am
18. April 2002 ueber win-sec-ssc verschickt) behandelt:

VU#627275: Buffer Overflow Bug im "extended stored procedures" Feature

Ein Feature von MS SQL Server 7 und 2000 sind sogenannte "extenden
stored procedures", also externe Prozeduren, die von Benutzern fuer
verschiedene Helper-Funktionen aufgerufen werden koennen.

Diese Prozeduren haben allgemein einen Fehler in der Handhabung von
Eingabedaten, die nicht korrekt auf ihre Laenge geprueft
werden. Dieser Fehler koennte von einem Angreifer ueber das Netzwerk
durch manipulierte Datenbankabfragen ausgenutzt werden. Der daraus
resultierende Buffer Overflow kann den SQL Server zum Absturz
bringen. Unter bestimmten Umstaenden koennte der Angreifer sogar Code
auf dem betroffenen System im Benutzerkontext des SQL-Servers ablaufen
lassen (Default: Domain User).

Die folgenden beiden Schwachstellen wurden im MS Advisory MS02-039 (am
25. Juli 2002 ueber win-sec-ssc verschickt) behandelt:

VU#399260 / VU#484891: Heap bzw. Stack Overflow Bug im Resolution Service

Ein MS SQL Server 2000 kann mehrere Instanzen des Datenbankservers
auf demselben System laufen lassen. Die erste Instanz lauscht
standardmaessig auf TCP Port 1433, die uebrigen werden dynamisch an
beliebige hohe Ports gebunden, welche durch eine Art Portmapper ("SQL
Server Resolution Service") vergeben und verwaltet werden, welcher auf
UDP Port 1434 lauscht.

In den "Resolution Services" stecken ein Heap und ein Stack Overflow
Bug, die von einem entfernten Angreifer durch Senden eines speziell
generierten Datenpaketes an den Dienst fuer einen Denial of Service
ausgenutzt werden koennen. Im schlimmsten Fall kann der Angreifer
sogar eigenen Code auf dem Opfersystem im Sicherheitskontext des SQL
Serverdienstes ausfuehren.

Als Workaround kann Port 1434/UDP per Paketfilter gesperrt werden.

Die von Microsoft bereitgestellten Patches finden Sie auch auf unserem
FTP-Server:

MS02-020:

SQL Server 7 (deutsch)

ftp://ftp.cert.dfn.de/pub/vendor/mic...p3_x86_ger.exe

SQL Server 7 (englisch)

ftp://ftp.cert.dfn.de/pub/vendor/mic...p3_x86_enu.exe

SQL Server 2000 (deutsch)

ftp://ftp.cert.dfn.de/pub/vendor/mic...p2_x86_ger.exe

SQL Server 2000 (englisch)

ftp://ftp.cert.dfn.de/pub/vendor/mic...p2_x86_enu.exe

MS02-034:

Englische Version (SQL Server 2000 und MSDE 2000):

ftp://ftp.cert.dfn.de/pub/vendor/mic...0.0650_enu.exe

Deutsche Version (SQL Server 2000 und MSDE 2000):

ftp://ftp.cert.dfn.de/pub/vendor/mic...0.0650_ger.exe

MS02-039:

Englische Version SQL Server 2000:

ftp://ftp.cert.dfn.de/pub/vendor/mic...000_SP2_en.EXE

Patch existiert derzeit nicht in einer deutschen Version.

(c) der deutschen Zusammenfassung bei DFN-CERT GmbH; die Verbreitung,
auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT
GmbH, und nur zu nicht kommerziellen Zwecken gestattet.