HOME > 게시판 > 자유게시판
게시판| 자유게시판
※ 게시판 용도에 맞지 않는 글(광고및 홍보 글 등)은 임의삭제될 수 있습니다.

 
작성일 : 02-06-17 17:40
마이크로소프트 SQLXML 버퍼오버플로 취약점
 글쓴이 : 관리자
조회 : 1,161  
-- 제목 --------------
마이크로소프트 SQLXML 버퍼오버플로 취약점

-- 해당 시스템 --------
Microsoft SQL Server 2000

-- 설명---------------
Microsoft SQLXML에 두가지 취약점이 존재한다. 하나는 MS IIS 서버에
공격자가 임의의 명령어를 수행할 수 있는
ISAPI 확장자에 버퍼오버플로가 존재하며, 두 번째 취약점은 사용자
컴퓨터에서 보다 높은 수준의 권한으로
스크립트을 실행할 수 있는 XML 태그를 구체화하는 함수에 있다.

--영향-----------------
이 취약점을 이용하여 공격자는 임의의 명령어를 실행할 수 있으며, 사용자의
컴퓨터에 스크립트를 실행시켜
보다 높은 수준의 권한을 획득할 수 있다.

-- 해결책---------------
패치다운로드 주소:
Microsoft SQLXML version shipping with SQL 2000 Gold:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39547
Microsoft SQLXML version 2:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38480
Microsoft SQLXML version 3:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38481

패치 설치방법
설치 후 리부팅은 필수
SQL Server 2000 Gold에 탑재되어 있는 SQLXML인 경우:
다음의 레지스트리 값이 컴퓨터에 생성되어져야 한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\DataAccess\Q321858

SQLXML Version 2.0인 경우:
다음의 레지스트리 값이 컴퓨터에 생성되어져야 한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\SQLXML 2.0\Q321460

SQLXML Version 3.0인 경우:
다음의 레지스트리 값이 컴퓨터에 생성되어져야 한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\SQLXML 3.0\Q320833

------- 참조 사이트 --------------------------
http://www.ciac.org/ciac/bulletins/m-091.shtml
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-030.asp

--------------------------------------------

--------------------------------------------------------------
한국정보보호진흥원(Korea Information Security Agency),
Computer Emergency Response Team Coordination Center , CERTCC-KR
전화: 118 (지방 02-118)  Email: cert@certcc.or.kr
==============================================================

이 글을 트위터로 보내기 이 글을 페이스북으로 보내기