Megapatch tappaspifferi per MS SQL Server

Microsoft ha rilasciato un cerottone per il suo database che va a tappare in un sol colpo magagne vecchie e nuove. Un cerottino risolve invece un problemino di password


Redmond (USA) – Microsoft ha rilasciato in contemporanea una megapatch per SQL Server 2000, che corregge falle vecchie e nuove, e una singola patch per SQL Server 7 e 2000, che va a tappare un bug di recente scoperta. In entrambi i casi, i problemi di sicurezza sono stati classificati da Microsoft di rischio moderato.

La patch cumulativa si applica a tutte le edizioni di SQL Server 2000 e di SQL Server Desktop Engine (MSDE) 2000 e, oltre a comprendere tutte le patch precedentemente rilasciate, mette fine a tre vulnerabilità di sicurezza, la più grave delle quali può consentire ad un aggressore di eseguire del codice a sua scelta sul server.

La prima falla riguarda un buffer overrun in una procedura utilizzata per criptare le password e altre informazioni di autenticazione. Un aggressore potrebbe sfruttare la falla per eseguire del codice con gli stessi privilegi dell’account con cui gira SQL Server e, eventualmente, per guadagnare privilegi più elevati.

Un secondo buffer overrun mina invece una delle procedure utilizzate da SQL Server per l’inserimento di dati bulk nelle tabelle del database. Come in precedenza, un aggressore potrebbe sfruttare la debolezza per guadagnare un certo controllo sul database e, in alcuni casi, sull’intero server. In questo caso l’aggressore deve però far parte del gruppo Bulk Admins che, di default, non contiene nessun membro.

La terza vulnerabilità riguarda invece alcuni permessi errati nella chiave del registro che archivia le informazioni sugli account. In questo caso un aggressore che sia in grado di caricare ed eseguire query sul sistema potrebbe elevare i propri privilegi fino ad ottenere quelli con cui gira il sistema operativo.

Tutte e tre le vulnerabilità vengono descritte da Microsoft nel bollettino di sicurezza MS02-034 . La megapatch che le corregge, e che include tutte le precedenti patch per SQL Server 2000, può essere scaricata qui .

La patch singola, descritta nel bollettino di sicurezza MS02-035 , riguarda invece una vulnerabilità nella procedura d’installazione di SQL Server 7.0 (incluso MSDE 1.0), SQL Server 2000 o uno dei relativi service pack: in alcune circostanze, infatti, la password di amministratore potrebbe venire archiviata in chiaro o con una criptazione debole nel file setup.iss o in uno dei file di log sqls*.log , consentendone l’accesso o la facile decodifica da parte di chiunque possa loggarsi nel sistema. La vulnerabilità si presenta solo nei server configurati per l’utilizzo “Mixed Mode”: non ne sono afflitti i sistemi che utilizzano il “Windows Authentication Mode” raccomandato da Microsoft.

La patch è costituita da una utility, KillPwd , che una volta lanciata fa una scansione del sistema in cerca di eventuali file contenenti password di SQL e li cancella. L’altra soluzione suggerita da Microsoft è quella di spostare manualmente i file incriminati in una directory protetta.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Google Toolbar
    Io uso da ormai 2-3 anni la Google toolbar, che viene prodotta proprio dallo staff di google ed è comodissima. http://toolbar.google.comPeccato che ora lavoro solo su mac e non funziona più :'(
    • Anonimo scrive:
      Re: Google Toolbar
      - Scritto da: Maxesse
      Io uso da ormai 2-3 anni la Google toolbar,che Google ha lanciato nel 2001? ;)
  • Anonimo scrive:
    x Luca (Link errato Multibrowser)
    Il link di riferimento x il Multibrowser mi porta su pagina non trovata.Un link funzionante è:http://www.turckware.ru/product_e.htmbye!
  • Anonimo scrive:
    Operizziamolo!
    Interessante che questi tool sostanzialmente aggiungano ad IE le caratteristiche che Opera ha da anni: multibrowsing, tab, disabilitazione delle finestre di pop-up...
    • Anonimo scrive:
      Re: Operizziamolo!
      - Scritto da: Maik
      Interessante che questi tool sostanzialmente
      aggiungano ad IE le caratteristiche che
      Opera ha da anni: multibrowsing, tab,
      disabilitazione delle finestre di pop-up...Vedi! Operas in realtà eè il monopolizzatore! Quello che vuole darti tutto lui.MSIE invece ti lascia spazio per mettere tu i tools che vuoi! ^_______________^(ma c'è ancora qualcuno che sceglie MSIE?)
      • Anonimo scrive:
        Re: Operizziamolo!
        - Scritto da: SiN
        (ma c'è ancora qualcuno che sceglie MSIE?)Si, io.Saluti,@ngel
      • Anonimo scrive:
        Re: Operizziamolo!

        Vedi! Operas in realtà eè il
        monopolizzatore! Quello che vuole darti
        tutto lui.

        MSIE invece ti lascia spazio per mettere tu
        i tools che vuoi!
        ^_______________^ROTFL! ;-)
        (ma c'è ancora qualcuno che sceglie MSIE?)E' la cosa che continua a stupirmi. Apparte l'innegabile vantaggio di aprire la totalità dei siti (e soprassedendo sui discorsi di compatibilità, standard e standard de facto), che cos'ha Explorer da farlo preferire ad altri browser? IMHO *solo* il fatto che è preinstallato.;-)
        • Anonimo scrive:
          Re: Operizziamolo!


          (ma c'è ancora qualcuno che sceglie MSIE?)


          E' la cosa che continua a stupirmi. Apparte
          l'innegabile vantaggio di aprire la totalità
          dei siti (e soprassedendo sui discorsi di
          compatibilità, standard e standard de
          facto), che cos'ha Explorer da farlo
          preferire ad altri browser? IMHO *solo* il
          fatto che è preinstallato.

          ;-)IE per molte cose è il peggiore ma ha anche numerosissimi punti a suo vantaggio.Soprassediamo un attimo sulle politiche Microsoft che meritano sicuramente un azione di boicottaggio e il supporto ai prodotti concorrenziali.Quello che non riesco acapire è perchè voi che avete hard disk da 40 gb non vi prendete la briga di installare più browser e di usarli e di sperimentare gli ambiti in cui uno è da pèreferire all'altro.Anche io preferisco di gran lunga Opera, pero su molti siti la grafica si vede meglio con IE quando non con il vecchio Netscape Communicator. IE ha da tempo delle funzioni di salvataggio su disco della pagina che solo di recente Mozilla sta eguagliando.MORTE AL MONOPOLISTA, internet explor e outlook sono il peggior nemico della sicurezza i bug non si contano... tutto verissimo ma non si possono ignorare i preggi del prodotto se si vuole conservare un minimo di obbiettivita.
          • Anonimo scrive:
            Re: Operizziamolo!
            - Scritto da: yuptost.
            Apparte

            l'innegabile vantaggio di aprire la
            totalità

            dei siti (A me è capitato di trovare siti che NON si aparivano con MSIE.Rarissimi, ma esistono ^__-
          • Anonimo scrive:
            Re: Operizziamolo!
            - Scritto da: Ansia


            - Scritto da: yuptost
            .

            Apparte


            l'innegabile vantaggio di aprire la

            totalità


            dei siti (Hai quotato male cosi sembra che questa castroneria l'abbia detta io.

            A me è capitato di trovare siti che NON si
            aparivano con MSIE.

            Rarissimi, ma esistono ^__-Sono perfettamente d'accordo con te, mi è capitato anche di vedere siti che si vedevano bene con Opera e Netscape ma male con IE (tipo foto fuori dalle cornici).E' per questo che consiglio comunque di avere più browser. :)
          • Anonimo scrive:
            Re: Operizziamolo!

            IE per molte cose è il peggiore ma ha anche
            numerosissimi punti a suo vantaggio.Non penso che siano numerosissimi: magari sono importanti, ma non mi sembrano MOLTI.
            Soprassediamo un attimo sulle politiche
            Microsoft che meritano sicuramente un azione
            di boicottaggio e il supporto ai prodotti
            concorrenziali.Vero anche questo. Ma qui si parlava del lato squisitamente tecnico
            Quello che non riesco acapire è perchè voi
            che avete hard disk da 40 gb non vi prendete
            la briga di installare più browser e di
            usarli e di sperimentare gli ambiti in cui
            uno è da pèreferire all'altro.;) In questo momento ho installatoOpera 6.04IE 5MozillaNetscape 7(Netscape 4.62 l'ho disinstallato)AmayaSu Linux hoOpera 6KonquerorGaleonLynxLinksNetRikDilloMozillaNetscapeOvvio, non li uso tutti, e forse io sono un'eccezione... Comunque, giusto per puntualizzare ;-)
            Anche io preferisco di gran lunga Opera,
            pero su molti siti la grafica si vede meglio
            con IE quando non con il vecchio Netscape
            Communicator.In che senso? Parli della impaginazione o della resa di render dei jpg?
            IE ha da tempo delle funzioni
            di salvataggio su disco della pagina che
            solo di recente Mozilla sta eguagliando.Non capisco, entra più nel dettaglio: Opera ad esempio, salva o la sola pagina HTML o la pagina con le immagini. Anche IE salva le immagini (permette di scegliere tra HTML e HTML+immagini?) e, differentemente da Opera, crea una cartella contenente le sole immagini. Per il resto, quali altri vantaggi ha la funzione di salvataggio di Explorer?
            MORTE AL MONOPOLISTA, internet explor e
            outlook sono il peggior nemico della
            sicurezza i bug non si contano... tutto
            verissimo ma non si possono ignorare i
            preggi del prodotto se si vuole conservare
            un minimo di obbiettivita.Hai ragionissima. Mi domandavo quali grandi vantaggi abbia Explorer (lasciamo stare Outlook per il momento). A me vengono in mente:1. E' incluso in bundle in Windows, non richiede spese aggiuntive2. E' altamente integrato nel sistema. In realtà non sarebbe un programma così poco avido di risorse (come Opera, o Dillo, ad esempio), ma di fatto il sistema operativo vi si appoggia in modo così massiccio, che lanciando IE, librerie, risorse e tc etc sono già in memoria. Di fatto, navigare con IE non appesantisce troppo la macchina3. Apre la quasi totalità delle pagine. Supporta la totalità degli standard de facto (semplicemente perchè è IE che detta gli standard...)Tra le manchevolezze o i difetti mi saltano agli occhi:1. Pochissimo personalibile a livello utente: senza stare a scendere in noiosi dettagli, basta fare un confronto con il pannello di Preferences di Opera.2. Non ha lo zoom3. Non permette la navigazione senza immagini, se non con una lunga serie di click nelle preferenze4. Non ha i tab5. La gestione della cache è lenta ("Torna alla pagina precedente" una buona parte delle volte significa ricaricare la pagina)6. Non permette di seguire un link caricando la pagina in background7. Non permette di bloccare i pop-up8. La gestione dei bookmark è grossolana9. Non ha la preview di stampa10. Non ha le linked-window11. Non ha le mouse-gesture12. Non è comodamente utilizzabile da tastiera13. Non ha l'integrazione con i motori di ricerca ("g pippo" per cercare su www.google.com la chiave "pippo", per intendersi)14. Non ha gli hot click15. Non suppporta pienamente gli standard (lo so, questo punto l'avevo incluso tra i pregi: direi che dipende dalla scelta personale dell'utente considerarlo un pregio od un difetto)16. Esiste solo per Windows.17. Il motore di rendering non è male, ma non è dei più veloci (Gecko, Dillo, Opera hanno motori MOOLTO più veloci)18. Non ha le preferenze veloci (abilita/disabilita i cookie, abilita/disabilita javascript/java/plugin etc etc)19. Non ha la gestione dei download: non permette il recupero dei download, non salva su disco i download non completati, non permette di interrompere momentaneamente un download, non permette di recuperare nemmeno il link dal quale si stava eseguendo un download interrotto per poterlo ricominciareMe ne verrebbero in mente altrettanti, ma temo di essere stato sufficientemente noioso, no? ;-)
          • Anonimo scrive:
            Re: Operizziamolo!

            9. Non ha la preview di stampa
            16. Esiste solo per Windows.esiste la preview e c'è IE per MAC e Linux...altre cose (mouse-gesture, ad esempio) le trovo inutili...
          • Anonimo scrive:
            Re: Operizziamolo!

            esiste la preview e c'è IE per MAC e Linux...E' vero su entrambe le cose, mi sono sbagliato per il fatto che uso la versione 5 che NON ha la preview.
            altre cose (mouse-gesture, ad esempio) le
            trovo inutili... Forse le mouse gesture. Ma pensi che siano inutili anche i tab? Anche i recover dei download? Anche il recover delle pagine che sis stavano visitando prima di un crash o della chiusura del programma?
          • Anonimo scrive:
            Re: Operizziamolo!

            3. Apre la quasi totalità delle pagine.
            Supporta la totalità degli standard de facto
            (semplicemente perchè è IE che detta gli
            standard...)Non è sempre vero, JavaScript nato con e grazie a Netscape funziona benissimo con IE, da, invece, molti problemi con le ultime versioni di Netscape (Ci sono pagine in Javascript che con Netscape 4 andavano benissimo ma che con le versioni successive alla 6 non vanno).
            3. Non permette la navigazione senza
            immagini, se non con una lunga serie di
            click nelle preferenzeNon so cosa intendi per lunga, ma bastano 3 click.
            9. Non ha la preview di stampaSBAGLIATO, ha la preview di stampa.
            15. Non suppporta pienamente gli standard
            (lo so, questo punto l'avevo incluso tra i
            pregi: direi che dipende dalla scelta
            personale dell'utente considerarlo un pregio
            od un difetto)Una affermazione come questa e' valida anche per Opera e Netscape.IE supporta gli standard molto bene.
            16. Esiste solo per Windows.SBAGLIATO, esiste per MACComunque hai fatto un elenco di caratteristiche poco rilevanti.
          • Anonimo scrive:
            Re: Operizziamolo!

            Non è sempre vero, JavaScript nato con e
            grazie a Netscape funziona benissimo con IE,
            da, invece, molti problemi con le ultime
            versioni di Netscape (Ci sono pagine in
            Javascript che con Netscape 4 andavano
            benissimo ma che con le versioni successive
            alla 6 non vanno).Ovvio che l'aderenza agli standard non è perfetta per tutti i browser. Alcuni hanno scelto di introdurre anche tag e tecnologie proprietarie (IE, Netscape), altri solo a standard riconosciuti (Opera), altri ancora si rifiutano perfino di aprire le pagine che contengono un solo errore (Netrik)Sta di fatto che oggi lo standard di riferimento è IE, comprese le sue tecnologie proprietarie. Anche (e non solo) perchè è il browser più diffuso.

            3. Non permette la navigazione senza

            immagini, se non con una lunga serie di

            click nelle preferenze

            Non so cosa intendi per lunga, ma bastano 3
            click.1. Apri il menu strumenti2. Seleziona Opzioni internet3. Scegli il tab Avanzate4. Seleziona/deseleziona "Mostra immagini"5. Clicca su OKSe ti sembra un modo rapido...Su Opera c'è un pulsantino sullo schermo oppure uno shortcut.Con Opera, infine, puoi anche decidere di mostrare SOLO le immagini già presenti in cache ed evitare il download delle immagini nuove. Su IE no, che io sappia.

            9. Non ha la preview di stampa

            SBAGLIATO, ha la preview di stampa.E' vero. Solo nelle versioni superiori alla 5. Riconosco il mio errore


            15. Non suppporta pienamente gli standard

            (lo so, questo punto l'avevo incluso tra i

            pregi: direi che dipende dalla scelta

            personale dell'utente considerarlo un
            pregio

            od un difetto)

            Una affermazione come questa e' valida anche
            per Opera e Netscape.Opera si attiene SOLO agli standard riconosciuti ed ignora i tag proprietari. IE e Netscape introducono diversi tag proprietari e spesso incompatibili con altri browser.

            16. Esiste solo per Windows.

            SBAGLIATO, esiste per MACE' vero, errata corrige.
            Comunque hai fatto un elenco di
            caratteristiche poco rilevanti.Ripeto: a parità di caratteristiche, avere in più i TAG, lo zoom e il recover dei download ti sembra irrilevante? Che non lo sia lo dimostra il fatto che esistono add-on per aggiungere queste feature allo scarno IE. Questo IMHO, naturalmente
      • Anonimo scrive:
        Re: Operizziamolo!
        Si', il 95% degli utenti che navigano su questo pianeta ;)
        • Anonimo scrive:
          Re: Operizziamolo!
          - Scritto da: cippa
          Si', il 95% degli utenti che navigano su
          questo pianeta ;)ho scritto "sceglie" , non "usa" :-p
          • Anonimo scrive:
            Re: Operizziamolo!
            hehe in effetti e' difficile fare una stima di quanti lo usano per scelta di quel 95% :-)
    • Anonimo scrive:
      Re: Operizziamolo!
      forse ragazzi non avete capito (o provato) come funziona Me Gustas Tu. Non ha niente a che vedere con IE. Usa la clipboard. Scrivete le mail con Eudora? Ottimo. Incollate la firma che lui vi mette negli appunti in Eudora...
      • Anonimo scrive:
        Re: Operizziamolo!
        - Scritto da: AlexBravo
        forse ragazzi non avete capito (o provato)
        come funziona Me Gustas Tu. Non ha niente a
        che vedere con IE. Usa la clipboard.
        Scrivete le mail con Eudora? Ottimo.
        Incollate la firma che lui vi mette negli
        appunti in Eudora...dalla recensione infatti copio e incollo"La comodità del sistema di copia negli appunti consiste nel fatto che le firme casuali in questo modo possono essere facilmente copiate in qualsiasi programma di posta, anche via webmail (ad esempio Hotmail o simili) ma anche di videoscrittura."ma molti usano i forum senza leggere prima la notizia ;)Zot!
    • Anonimo scrive:
      Re: Operizziamolo!
      - Scritto da: Maik
      Interessante che questi tool sostanzialmente
      aggiungano ad IE le caratteristiche che
      Opera ha da anni: multibrowsing, tab,
      disabilitazione delle finestre di pop-up...Ciao! si ma rispetto ad Opera questi piccoli programmini (e IE) hanno una marcia in piu'.sono gratuiti ;)))ciao!
      • Anonimo scrive:
        Re: Operizziamolo!
        - Scritto da: LucaSchiavoni
        si ma rispetto ad Opera questi piccoli
        programmini (e IE) hanno una marcia in piu'.

        sono gratuiti ;)))beh, ma come voi di PI sapete bene, un bannerino non è un grande prezzo ^__-
        • Anonimo scrive:
          Re: Operizziamolo!
          - Scritto da: SiN
          beh, ma come voi di PI sapete bene, un
          bannerino non è un grande prezzo ^__-mmh beh aspetta, Opera E' in vendita.cosi' come e' in vendita NetCaptor (che non vedo tra le recensioni difatti)
Chiudi i commenti