Microsoft SQL Server: un problema da risolvere

di Fabio Boneschi, pubblicata il 23 Dicembre 2008, alle 16:18 nel canale Sicurezza

“Microsoft segnala un problema di sicurezza in relativo a Microsoft SQL Server 2000 e SQL Server 2005”

La fine del 2008 sta facendo registrare non pochi problemi di sicurezza per i prodotti Microsoft: dopo l'aggiornamento straordinario per Microsoft Internet Explorer - giunto a pochi giorni dal patch day di dicembre - un bollettino di sicurezza segnala un nuovo problema ai danni di SQL Server 2000 e SQL Server 2005.

Al momento non è ancora disponibile una patch ma fortunatamente per ora non si segnalano azioni malevole condotte sfruttando questo specifico problema. Nelle note di Microsoft vengono argomentate varie considerazioni che inducono a un cauto ottimismo: il problema rilevato consentirebbe l'esecuzione di codice su una macchina vulnerabile agendo da remoto, ma fortunatamente pare non essere cosi difacilmente utilizzabile da parte di eventuale malware.

Inoltre, nella nota diffusa da Microsoft si segnala come alcuni prodotti - tra cui  Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 SP3 and Microsoft SQL Server 2008 - siano immuni dal problema. Microsoft sta valutando il problema nel suo complesso al fine di realizzare una patch dedicata che verrà diffusa il prossimo 13 gennaio, oppure in modalità straordinaria.

Per il momento nel bollettino Microsoft Security Advisory 961040 disponibile qui vengono segnalate alcune operazioni utili a risolvere momentaneamente il problema.



Commenti (23)

Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - Info
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.
Commento # 1 di: WarDuck pubblicato il 23 Dicembre 2008, 16:29
In sostanza le ultime versioni correttemente patchate (2005 e 2008) non sono affette dal problema insieme a SQL Server 7.

SQL Server 2000 è vulnerabile.

Altre info:
[LIST]
[*]This vulnerability is not exposed anonymously. An attacker would need to either authenticate to exploit the vulnerability or take advantage of a SQL injection vulnerability in a Web application that is able to authenticate.

[*]By default, MSDE 2000 and SQL Server 2005 Express do not allow remote connections. An authenticated attacker would need to initiate the attack locally to exploit the vulnerability.
[/LIST]
Commento # 2 di: SpyroTSK pubblicato il 23 Dicembre 2008, 16:37
nono, qui il problema è da rimuovere ms sql e installare mysql XD
Commento # 3 di: WarDuck pubblicato il 23 Dicembre 2008, 16:42
Originariamente inviato da: SpyroTSK
nono, qui il problema è da rimuovere ms sql e installare mysql XD


Non so le versioni Enterprise come sono, ma il fatto di non poter usare certe funzioni standard SQL non è propriamente il massimo dal punto di vista di chi fa un DB.

Durante il corso di Gestione dei Dati sono partito con MySQL per andare su SQL Server 2008 Express, implementa molta più sintassi SQL.

Poi volendosi complicare la vita ci sarebbe anche Oracle...
Commento # 4 di: Hal2001 pubblicato il 23 Dicembre 2008, 16:46
Originariamente inviato da: WarDuck
Poi volendosi complicare la vita ci sarebbe anche Oracle...


Non ci sono soluzioni adatte per tutti, per quello che faccio io per esempio ne Oracle, ne SQL Server sarebbero utili, anzi: e sfrutto il flessibile e gratuito MySQL, ma in altre realtà non saprebbero che farsene.
Pensa alle soluzioni per gruppi bancari ad esempio, lì oltre ad Oracle sfruttano DB scritti ad hoc
Commento # 5 di: Fx pubblicato il 23 Dicembre 2008, 17:02
Originariamente inviato da: SpyroTSK
nono, qui il problema è da rimuovere ms sql e installare mysql XD


le solite banalità
Commento # 6 di: Kharot pubblicato il 23 Dicembre 2008, 17:33
Originariamente inviato da: SpyroTSK
nono, qui il problema è da rimuovere ms sql e installare mysql XD


Si vede che non ne sai molto di DBMS, mysql non è adatto in ambito enterprise e non è paragonabile a SQL Server, senza scendere nei dettagli.
Commento # 7 di: drn74 pubblicato il 23 Dicembre 2008, 18:15
Nulla di nuovo: evitate di usare prodotti microsoft e dormirete sonni piu tranquilli
Commento # 8 di: WarDuck pubblicato il 23 Dicembre 2008, 18:38
Originariamente inviato da: drn74
Nulla di nuovo: evitate di usare prodotti microsoft e dormirete sonni piu tranquilli


Anche qui: altra cazzata .

Basta con questi luoghi comuni per cortesia.
Commento # 9 di: BrightSoul pubblicato il 23 Dicembre 2008, 19:48
mysql non è adatto in ambito enterprise


ma intendi l'enterprise del capitano Picard? Perché senza nulla togliere a SqlServer (che non conosco) mi sembra che MySql sia un buon DBMS affidabile anche per la media impresa. Siccome oltre la clusterizzazione e la replicazione non mi serve altro, vorrei che mi elencassi alcuni dei dettagli a cui accennavi.

Ripeto, senza nulla togliere a SQL Server. Ci mancherebbe, sviluppo in dotnet, adoro Microsoft
Commento # 10 di: luX0r.reload pubblicato il 23 Dicembre 2008, 19:49
Originariamente inviato da: SpyroTSK
nono, qui il problema è da rimuovere ms sql e installare mysql XD

... si certo... se mysql avrebbe le potenzialità di SQL Server, volentieri. Ma ad oggi non penso che si possano minimamente paragonare. Chi scrive Stored Procedures e Triggers tramite T-SQL mi può capire
« Pagina Precedente     Pagina Successiva »
Devi effettuare il login per poter commentare
La discussione è consultabile anche qui, sul forum.