CERTA-2000-AVI-013

Vulnerability from certfr_avis - Published: - Updated:

Une « procédure cataloguée » (ou procédure mémorisée) est un ensemble d'instructions SQL précompilées enregistré dans le dictionnaire d'une base de données SQL sur un serveur. Elles sont exécutées par une application via un appel de procédure (Remote Procedure Call).

Une vulnérabilité de Microsoft SQL server 7.0 permet à un utilisateur mal intentionné d'exécuter des « procédures cataloguées » auxquelles il n'a normalement pas accès.

Description

Dans une base de donnée SQL, tout membre du groupe Sysadmin de la base de données, est un utilisateur particulier appelé Opérateur de Base de Données (DBO : Database Operator).

Lorsqu'une procédure cataloguée temporaire appelle une procédure cataloguée dont le propriétaire est DBO, la vérification des permissions qui devrait avoir lieu est omise. Un utilisateur authentifié du serveur SQL peut créer de telle procédures temporaires. Ceci permet à un utilisateur authentifié mal intentionné d'exécuter n'importe quelle procédure appartenant au DBO

Si une base de donnée du serveur SQL appartient au compte « administrateur système » , cela permet à un utilisateur mal intentionné d'utiliser les fonctions d'administration du serveur.

Il faut donc, pour cela, que les conditions suivantes soient réunies :

  • Le propriétaire de la base de données doit être le compte administrateur système de la machine ;
  • Le propriétaire de la procédure cataloguée doit être DBO ;
  • L'utilisateur mal intentionné doit avoir un accès à la base de données, et doit pouvoir s'authentifier sur le serveur SQL.

Contournement provisoire

Vérifiez que le propriétaire de vos bases de données n'est jamais l'administrateur du système. Si l'une des bases de données appartient à l'administrateur système, changez le propriétaire immédiatement. Elle doit appartenir au compte d'un utilisateur sans privilège d'administration de Windows. On doit alors donner les droits du DBO à cet utilisateur.

Solution

Microsoft recommande d'appliquer le correctifs suivant dans tous les cas :

  • Pour les système Intel :

    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22470

  • Pour les systèmes alpha :

    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22469

Nota : Ces correctifs ne peuvent être installés que si vous avez appliqué le Service Pack 2 à votre serveur SQL.

Impacted products
Vendor Product Description
Microsoft N/A Toute machine utilisant Microsoft SQL Server 7.0.
References
Bulletin de sécurité Microsoft 2000-07-11 vendor-advisory
Sites web Security Bugware et SecurityFocus 2000-07-11 vendor-advisory
La Faq à ce sujet : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Toute machine utilisant Microsoft SQL Server 7.0.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "content": "## Description\n\nDans une base de donn\u00e9e SQL, tout membre du groupe Sysadmin de la base\nde donn\u00e9es, est un utilisateur particulier appel\u00e9 Op\u00e9rateur de Base de\nDonn\u00e9es (DBO : Database Operator).\n\nLorsqu\u0027une proc\u00e9dure catalogu\u00e9e temporaire appelle une proc\u00e9dure\ncatalogu\u00e9e dont le propri\u00e9taire est DBO, la v\u00e9rification des permissions\nqui devrait avoir lieu est omise. Un utilisateur authentifi\u00e9 du serveur\nSQL peut cr\u00e9er de telle proc\u00e9dures temporaires. Ceci permet \u00e0 un\nutilisateur authentifi\u00e9 mal intentionn\u00e9 d\u0027ex\u00e9cuter n\u0027importe quelle\nproc\u00e9dure appartenant au DBO\n\nSi une base de donn\u00e9e du serveur SQL appartient au compte \u00ab\nadministrateur syst\u00e8me \u00bb , cela permet \u00e0 un utilisateur mal intentionn\u00e9\nd\u0027utiliser les fonctions d\u0027administration du serveur.\n\nIl faut donc, pour cela, que les conditions suivantes soient r\u00e9unies :\n\n-   Le propri\u00e9taire de la base de donn\u00e9es doit \u00eatre le compte\n    administrateur syst\u00e8me de la machine ;\n-   Le propri\u00e9taire de la proc\u00e9dure catalogu\u00e9e doit \u00eatre DBO ;\n-   L\u0027utilisateur mal intentionn\u00e9 doit avoir un acc\u00e8s \u00e0 la base de\n    donn\u00e9es, et doit pouvoir s\u0027authentifier sur le serveur SQL.\n\n## Contournement provisoire\n\nV\u00e9rifiez que le propri\u00e9taire de vos bases de donn\u00e9es n\u0027est jamais\nl\u0027administrateur du syst\u00e8me. Si l\u0027une des bases de donn\u00e9es appartient \u00e0\nl\u0027administrateur syst\u00e8me, changez le propri\u00e9taire imm\u00e9diatement. Elle\ndoit appartenir au compte d\u0027un utilisateur sans privil\u00e8ge\nd\u0027administration de Windows. On doit alors donner les droits du DBO \u00e0\ncet utilisateur.\n\n## Solution\n\nMicrosoft recommande d\u0027appliquer le correctifs suivant dans tous les cas\n:\n\n-   Pour les syst\u00e8me Intel :\n\n        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22470\n\n-   Pour les syst\u00e8mes alpha :\n\n        http://www.microsoft.com/Downloads/Release.asp?ReleaseID=22469\n\nNota : Ces correctifs ne peuvent \u00eatre install\u00e9s que si vous avez\nappliqu\u00e9 le Service Pack 2 \u00e0 votre serveur SQL.\n",
  "cves": [],
  "links": [
    {
      "title": "La Faq \u00e0 ce sujet :",
      "url": "http://www.microsoft.com/technet/security/bulletin/fq00-048.asp"
    }
  ],
  "reference": "CERTA-2000-AVI-013",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2000-07-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Une \u00ab proc\u00e9dure catalogu\u00e9e \u00bb (ou proc\u00e9dure m\u00e9moris\u00e9e) est un ensemble\nd\u0027instructions SQL pr\u00e9compil\u00e9es enregistr\u00e9 dans le dictionnaire d\u0027une\nbase de donn\u00e9es SQL sur un serveur. Elles sont ex\u00e9cut\u00e9es par une\napplication via un appel de proc\u00e9dure (\u003cspan class=\"textit\"\u003eRemote\nProcedure Call\u003c/span\u003e).\n\nUne vuln\u00e9rabilit\u00e9 de Microsoft SQL server 7.0 permet \u00e0 un utilisateur\nmal intentionn\u00e9 d\u0027ex\u00e9cuter des \u00ab proc\u00e9dures catalogu\u00e9es \u00bb auxquelles il\nn\u0027a normalement pas acc\u00e8s.\n",
  "title": "Vuln\u00e9rabilit\u00e9 dans Microsoft SQL Serveur",
  "vendor_advisories": [
    {
      "published_at": "2000-07-11",
      "title": "Bulletin de s\u00e9curit\u00e9 Microsoft",
      "url": "http://www.microsoft.com/technet/security/bulletin/MS00-048.asp"
    },
    {
      "published_at": "2000-07-11",
      "title": "Sites web Security Bugware et SecurityFocus",
      "url": "None"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.