هشدار مرکز ماهر در خصوص آسیب‌پذیری سرریز بافر بر روی بانک اطلاعاتی SQL SERVER

آسیب پذیری (CVE-2018-8273) درServer SQLاین اجازه را به حمله کننده می‌دهد تا بر روی سیستم قربانی با سطح دسترسی حساب Database Engine، به اجرای کد بپردازد.

 هشدار مرکز ماهر در خصوص آسیب‌پذیری سرریز بافر بر روی بانک اطلاعاتی SQL SERVER

در روزهای اخیر #‫آسیب‌پذیری سرریز بافر بر روی #‫SQL_SERVER توسط شرکت مایکروسافت گزارش گردیده است. آسیب پذیری (CVE-2018-8273) درServer SQLاین اجازه را به حمله کننده می‌دهد تا بر روی سیستم قربانی با سطح دسترسی حساب Database Engine، به اجرای کد بپردازد. برای بهره‌برداری از این آسیب‌پذیری، حمله کننده می‌بایست یک درخواست SQLخاص را به سرویس‌دهنده ارسال کند.

 

مایکروسافت تنها روش جلوگیری از حمله توسط این آسیب‌پذیری را بروزرسانی محصول اعلام کرده است. نکته بسیار مهم این آسیب‌پذیری، وجود آن بر روی سرویس‌دهنده SQL Server 2017  لینوکس است. لذا لازم است اگر بر روی کانتینر‌های داکر خود از این سرویس استفاده کرده اید، آن را نیز به‌روز رسانی کنید.

 

وصله‌های امنیتی زیر توسط مایکروسافت به شرح ذیل برای این محصولات ارائه شده است.

 

نام محصول لینک وصله امنیتی
Microsoft SQL Server 2016 for x64-based Systems Service Pack 1(KB44293801) goo.gl/euP3JV
Microsoft SQL Server 2016 for x64-based Systems Service Pack 1 (CU)(KB4293808) goo.gl/VWUY5P
Microsoft SQL Server 2016 for x64-based Systems Service Pack 2(KB4293802)

goo.gl/qQT5Gp

Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (CU)(KB4293807) goo.gl/hC9qmM
Microsoft SQL Server 2017 for x64-based Systems RTM(KB4293803) goo.gl/GFxs7W
Microsoft SQL Server 2017 for x64-based Systems RTM (CU)(KB4293805) goo.gl/EEa9Vq

 

 

طبق اعلام مایکروسافت، وصله منتشر شده برای SQL Server 16 SP2 CU دارای مشکل بوده و حذف شده است. به روزرسانی جایگزین (KB4458621) به زودی منتشر می شود.

 


منابع:

سایت رسمی مرکز ماهر

https://blogs.msdn.microsoft.com/sqlreleaseservices/issue-with-security-update-for-the-remote-code-execution-vulnerability-in-sql-server-2016-sp2-cu-august-14-2018/

کلمات کلیدی