1 2 3 4 5 6

Notas RSS PDF

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Nota de Seguridad UNAM-CERT-2008-006 Vulnerabilidad en SQL Server podría permitir la ejecución remota de código

Diversos reportes indican que existe una vulnerabilidad en diversas versiones Microsoft SQL Server que podría permitir la ejecución remota de código. De acuerdo a la nota de seguridad de Microsoft, se ha advertido que el código exploit, que aprovecha la vulnerabilidad, ha sido publicado en Internet. Se recomienda a los administradores de servidores Microsoft SQL Server esten al pendiente de las actualizaciones y tomen las precauciones descritas en la presente nota.

  • Fecha de Liberación: 22-Dic-2008
  • Ultima Revisión: 23-Dic-2008
  • Fuente: Microsoft Corp., DFN-CERT, foros y diversas listas de discusión.
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código
  1. Sistemas Afectados

    • Microsoft SQL Server 2000
    • Microsoft SQL Server 2005
    • Microsoft SQL Server 2005 Express Edition
    • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
    • Windows Internal Database (WYukon)
    • Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3, y Microsoft SQL Server 2008 no son afectados por ésta falla de seguridad.

  2. Descripción

    Diversos reportes indican que una vulnerabilidad en diversas versiones de Microsoft SQL Server podría permitir la ejecución remota de código. Microsoft Corp. ha sido advertido que el exploit ha sido publicado en la red. Hasta el momento no se reporta de ataques que aprovechen la vulnerabilidad.

  3. Impacto

    Un atacante remoto podría ejecutar código arbitrario en el sistema afectado.

  4. Solución

    Hasta el momento no existe una solución oficial que resuelva la vulnerabilidad, sin embargo existen algunas medidas que pueden mitigar el riesgo de exposición a la vulnerabilidad.

    Es importante que los administradores se encuentren al pendiente de las actualizaciones de seguridad, pues Microsoft emitirá una solución para esta vulnerabilidad.

  5. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Oscar Raúl Ortega Pacheco (oortega at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT