BUGTRAQ ID | 嚴重程度 | CVE ID | 發布日期 | 更新日期 |
4847 | 高 | CAN-2002-0641 | 2003-02-12 | 2003-02-12 |
錯誤類型 利用方式 威脅類型 輸入驗證錯誤 服務器模式 遠程管理員權限
所影響的操作系統和應用程序
Microsoft SQL Server 2000 SP2 Microsoft SQL Server 2000 Desktop Engine +Akiva WebBoard 6.1 +Microsoft Access 2000 +Microsoft Application Center 2000 +Microsoft Biz Talk Server 2002 Developer Edition +Microsoft Biz Talk Server 2002 Enterprise Edition +Microsoft BizTalk Server 2000 Developer Edition +Microsoft BizTalk Server 2000 Enterprise Edition +Microsoft BizTalk Server 2000 Standard Edition +Microsoft Office 2000 +Microsoft Project Central Server +Microsoft SharePoint Team Services +Microsoft Visio 2000 Enterprise Edition +Microsoft Visio Enterprise Network Tools +Microsoft Visual FoxPro 6.0 +Microsoft Visual Studio 6.0 +Microsoft Visual Studio .NET Academic Edition +Microsoft Visual Studio .NET Enterprise Architect Edition +Microsoft Visual Studio .NET Enterprise Developer Edition +Microsoft Visual Studio .NET Professional Edition +SmartMax Software MailMax 5.0 +Veritas Software Backup Exec 9.0
詳細描述
Microsoft SQL Server 2000的bulk插入過程一般被管理用來往數據庫的表中插入數據或以定制的格式直接從數據文件中查看數據,由于在處理過程參數時的一個不檢查邊界的數據復制操作使此過程的實現上存在了緩沖區溢出漏洞,入侵者可能通過構造惡意的參數來利用此漏洞執行任意代碼。
測試代碼
解決方案
Microsoft Patch Q316333
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333&
發現者
Cesar Cerrudo和David Litchfield
Microsoft Security Bulletin MS02-034
http://www.microsoft.com/technet/security/bulletin/MS02-034.asp
(責任編輯:郁單曰)