CERTA-2002-AVI-232
Vulnerability from certfr_avis
Une vulnérabilité a été découverte dans les tâches web de SQL Server.
Description
SQL Server 7.0 et 2000 fournissent des procédures stockées qui sont un ensemble de commandes Transact-SQL traitées en groupe et auxquelles on attribue un nom.
Une vulnérabilité permet à un utilisateur mal intentionné possédant de faibles privilèges d'exécuter, de détruire, d'inscrire ou de mettre à jour une tâche web en combinant une procédure stockée et une procédure stockée étendue. Cet utilisateur peut également exécuter toutes les tâches web déjà créées dans le contexte de l'auteur de la tâche.
Solution
Appliquer le correctif cumulatif disponible sur le site de Microsoft (cf. Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Microsoft SQL Server 7.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft SQL Server 2000 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Desktop Engine (MSDE) 2000.",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
},
{
"description": "Microsoft Data Engine (MSDE) 1.0 ;",
"product": {
"name": "N/A",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nSQL Server 7.0 et 2000 fournissent des proc\u00e9dures stock\u00e9es qui sont un\nensemble de commandes Transact-SQL trait\u00e9es en groupe et auxquelles on\nattribue un nom.\n\nUne vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur mal intentionn\u00e9 poss\u00e9dant de\nfaibles privil\u00e8ges d\u0027ex\u00e9cuter, de d\u00e9truire, d\u0027inscrire ou de mettre \u00e0\njour une t\u00e2che web en combinant une proc\u00e9dure stock\u00e9e et une proc\u00e9dure\nstock\u00e9e \u00e9tendue. Cet utilisateur peut \u00e9galement ex\u00e9cuter toutes les\nt\u00e2ches web d\u00e9j\u00e0 cr\u00e9\u00e9es dans le contexte de l\u0027auteur de la t\u00e2che.\n\n## Solution\n\nAppliquer le correctif cumulatif disponible sur le site de Microsoft\n(cf. Documentation).\n",
"cves": [],
"initial_release_date": "2002-10-17T00:00:00",
"last_revision_date": "2002-10-17T00:00:00",
"links": [],
"reference": "CERTA-2002-AVI-232",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-10-17T00:00:00.000000"
}
],
"risks": [
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans les t\u00e2ches web de SQL Server.\n",
"title": "El\u00e9vation de privil\u00e8ges dans SQL Server Web Tasks",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de s\u00e9curit\u00e9 MS02-61 de Microsoft",
"url": "http://www.microsoft.com/technet/security/bulletin/MS02-61.asp"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…