Une faille critique dans SQL Server
Microsoft vient de publier une alerte de sécurité pointant une faille de son SGBDR SQL Server, faille susceptible d’être exploitée pour exécuter du code malicieux.
Microsoft vient de publier une alerte de sécurité pointant une faille de son SGBDR SQL Server, faille susceptible d’être exploitée pour exécuter du code malicieux. L’éditeur reconnaît d’ailleurs l’existence d’exploits déjà publiés sur Internet pour cette faille.
Microsoft précise que sont concernés SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine, et même WYukon, la base de données relationnelle interne à Windows utilisée notamment par SharePoint Services et Windows SUS pour la gestion des rôles et des fonctions. SQL Server 7.0 SP4, SQL Server 2005 SP3 et SQL Server 2008 ne sont pas touchés.
Léditeur indique, en outre, que la faille ne peut être exploitée qu’après authentification – une injection SQL via un formulaire Web reste possible –, et que Microsoft SQL Server 2000 Desktop Engine et SQL Server 2005 n’acceptent pas, par défaut, de connexions distantes. De quoi limiter les risques.