MS: Varokaa vakavaa sql-uhkaa
0
Microsoft varoittaa, että yhtiön suositusta tietokantaohjelmistosta on löytynyt haavoittuvuus, ja siihen jaetaan internetissä hyökkäyskoodia. Tilanne on hankala, koska turvapäivitystä ei ole saatavilla. Keinoja ongelman rajoittamiseen kuitenkin on.
Microsoft kertoo, että sen tietoon ei ole vielä tullut varsinaisia hyökkäyksiä. Niiden ilmestyminen on kuitenkin todennäköisesti vain ajan kysymys. Kun valmista hyökkäyskoodia jaetaan netissä, on rikollisten helppo ottaa hyökkäyksiä käyttöön.
Microsoft on julkaissut ongelmasta varoituksen (suomeksi, laajempi englanniksi).
Sql-ongelma ei koske vain tietokantoja
Sql-turva-aukkojen ongelma on se, että Microsoftin tietokantamoottoria käytetään yllättävän monissa tuotteissa. Microsoft mukaan haavoittuvuus koskee Microsoft SQL Server 2000, - 2005, - 2005 Express Edition, - 2000 Desktop Engine (MSDE 2000 ja WMSDE) ja Windows Internal Database (Wyukon) -ohjelmistoja.
Turva-aukkoa ei voi tällä hetkellä täysin korjata, mutta sen vaaraa voi rajoittaa. Microsoft antaa tähän neuvoja varoituksissaan.
Microsoftin mukaan kyseessä on haavoittuvuus, jolla hyökkääjä voisi ajaa koneessa omaa koodiaan. Haavoittuvuuden hyödyntäminen kuitenkin edellyttää, että hyökkääjällä on kelvollinen käyttäjätunnus ja salasana kohteena olevaan järjestelmään. Poikkeuksena on palvelin, johon hyökkääjä on jo suorittanut onnistuneen sql-injektio-hyökkäyksen.
