日前,微软公司发布安全公告称,SQL Server中的两处安全缺陷使得它可能受到拒绝服务
微软指出,SQL Server 2000和SQL Server 7.0都会受到这二个安全缺陷的影响,这
二个安全缺陷主要与SQL Server在收到请求后创建和显示文本信息的方式有关,微软认为这二
第一个也是比较严重的缺陷出在由限制文本尺寸的文本生成函数的运行失败后,这时
就会产生所谓的内存溢出故障,使黑客能够在系统中执行恶意代码。黑客对系统的危害程度与
系统管理员是如何配置系统安全参数的有关。在最坏的情况下,黑客能够“取得对数据库,甚
至是服务器”的控制权,能够“添加、删除或改变数据库中的数据,甚至重新配置操作系统、
第二个安全缺陷与格式化文本字符串的C运行库函数有关。当在Windows NT 4.0、
Windows 2000或Windows XP上运行时,数据库软件会调用这些字符串。微软指出,这一安全缺
陷可能使数据库系统受到拒绝服务攻击。当接受格式化字符串用来打印的函数在使用这些字符
串前不能正确地确认它们有效时,就可能会导致“格式化字符串”安全缺陷。
微软建议,所有运行SQL Server 7.0和SQL Server 2000的系统都需要安装第一个补
丁程序。只有极有可能受到攻击的系统才需要安装第二款补丁程序,因为它本身仍然存在缺陷
,微软建议用户等待发布下一款SQL Server服务包
