2008年12月22日，微软发出警告，一种新“零日”漏洞攻击其SQL服务器数据库应用程序。这是微软本月第二个“零日”漏洞警告。

微软安全咨询（Microsoft Security Advisory简称MSA）961040称，该漏洞会对以下版本造成威胁：SQLServer2000，SQL Server 2005（SP2或更低版本）及SQL Server 2005 Express版、MSDE 2000、WMSDE及Windows Internal Database。而SQL 7.0 SP4、SQL Server 2005 SP3及SQL Server 2008未受影响。

去年4月，安全咨询公司SEC首次发现微软这个漏洞。显然，SEC咨询公司已等不及微软发布补丁，提前两周就揭露了该漏洞及其代码。据该咨询公司网站，这个漏洞存在于一个名叫“sp_replwritetovarbin”SQL Server扩展存储程序中，会造成SQL服务器受到远程代码的攻击。

微软称会继续调查该问题，并如果有必要的话将发布安全补丁——无论是特殊下载还是每月例行的安全更新。

在发布补丁之前，微软已给出几点建议以减少你的数据库受到影响的机会：

——拒绝“sp_replwritetovarbin”扩展存储程序将会保护脆弱的系统。MAS提供了说明。

——该漏洞不会匿名出现。攻击者或者需要身份验证利用漏洞或者利用能够验证的Web应用程序中的SQL注入漏洞。

——默认情况下，MSDE200及SQL Server2005 Express版不允许远程连接。经授权的攻击者将利用该漏洞攻击本地机器。2008年12月22日，微软发出警告，一种新“零日”漏洞攻击其SQL服务器数据库应用程序。这是微软本月第二个“零日”漏洞警告。

微软安全咨询（Microsoft Security Advisory简称MSA）961040称，该漏洞会对以下版本造成威胁：SQLServer2000，SQL Server 2005（SP2或更低版本）及SQL Server 2005 Express版、MSDE 2000、WMSDE及Windows Internal Database。而SQL 7.0 SP4、SQL Server 2005 SP3及SQL Server 2008未受影响。

去年4月，安全咨询公司SEC首次发现微软这个漏洞。显然，SEC咨询公司已等不及微软发布补丁，提前两周就揭露了该漏洞及其代码。据该咨询公司网站，这个漏洞存在于一个名叫“sp_replwritetovarbin”SQL Server扩展存储程序中，会造成SQL服务器受到远程代码的攻击。

微软称会继续调查该问题，并如果有必要的话将发布安全补丁——无论是特殊下载还是每月例行的安全更新。

在发布补丁之前，微软已给出几点建议以减少你的数据库受到影响的机会：

——拒绝“sp_replwritetovarbin”扩展存储程序将会?；ご嗳醯南低场AS提供了说明。

——该漏洞不会匿名出现。攻击者或者需要身份验证利用漏洞或者利用能够验证的Web应用程序中的SQL注入漏洞。

——默认情况下，MSDE200及SQL Server2005 Express版不允许远程连接。经授权的攻击者将利用该漏洞攻击本地机器。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非?；队魑慌笥逊窒淼礁鋈苏境せ蛘吲笥讶Γ厍胨得魑恼鲁龃?。