CERTA-2002-AVI-232
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité a été découverte dans les tâches web de SQL Server.
Description
SQL Server 7.0 et 2000 fournissent des procédures stockées qui sont un ensemble de commandes Transact-SQL traitées en groupe et auxquelles on attribue un nom.
Une vulnérabilité permet à un utilisateur mal intentionné possédant de faibles privilèges d'exécuter, de détruire, d'inscrire ou de mettre à jour une tâche web en combinant une procédure stockée et une procédure stockée étendue. Cet utilisateur peut également exécuter toutes les tâches web déjà créées dans le contexte de l'auteur de la tâche.
Solution
Appliquer le correctif cumulatif disponible sur le site de Microsoft (cf. Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft SQL Server 7.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft SQL Server 2000 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Desktop Engine (MSDE) 2000.",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Data Engine (MSDE) 1.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nSQL Server 7.0 et 2000 fournissent des proc\u00e9dures stock\u00e9es qui sont un\nensemble de commandes Transact-SQL trait\u00e9es en groupe et auxquelles on\nattribue un nom.\n\nUne vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal intentionn\u00e9 poss\u00e9dant de\nfaibles privil\u00e8ges d\u0027ex\u00e9cuter, de d\u00e9truire, d\u0027inscrire ou de mettre \u00e0\njour une t\u00e2che web en combinant une proc\u00e9dure stock\u00e9e et une proc\u00e9dure\nstock\u00e9e \u00e9tendue. Cet utilisateur peut \u00e9galement ex\u00e9cuter toutes les\nt\u00e2ches web d\u00e9j\u00e0 cr\u00e9\u00e9es dans le contexte de l\u0027auteur de la t\u00e2che.\n\n## Solution\n\nAppliquer le correctif cumulatif disponible sur le site de Microsoft\n(cf. Documentation).\n",
"cves": [],
"links": [],
"reference": "CERTA-2002-AVI-232",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-10-17T00:00:00.000000"
}
],
"risks": [
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans les t\u00e2ches web de SQL Server.\n",
"title": "El\u00e9vation de privil\u00e8ges dans SQL Server Web Tasks",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 MS02-61 de Microsoft",
"url": "http://www.microsoft.com/technet/security/bulletin/MS02-61.asp"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…