微软警告：SQL服务器存在两个安全漏洞

　　【赛迪网讯】12月24日，微软声称，其SQL服务器数据库上有两个安全漏洞，容易使产品受到拒绝服务及破坏性代码的攻击。该安全漏洞的补丁程序可从微软网站上下载。

　　微软在安全公告牌上发表声明说，安全问题一直影响着SQL服务器2000和SQL服务器7.0，并影响着该产品的两种版本创建和服务器应答询问时显示文本信息的功能。微软将第一个漏洞所引发的危险称为“温和的”，而第二个漏洞所引发的危险则称之为“慢速的”。


　　首次和更多的严重攻击导致SQL服务器文本生成功能失常，以及系统分配的缓冲空间文本大小受到限制。这会引起一个众所周知的漏洞——缓冲区溢出，它使攻击者能够在系统内执行代码。攻击者所造成的破坏范围将取决于数据库管理员如何配置产品的安全参数。根据安全公告牌，最坏的情况是，攻击者会获得“有效控制数据库，甚至可能是服务器本身”的权利，从而可以“添加、删除或更改数据库中的数据……重新配置操作系统、在服务器上安装新软件，或者只是简单地重新格式化硬盘。”

　　第二个易受的攻击与用于格式化文本字符串的C运行时间函数有关。当运行 Windows NT 4.0、Windows 2000 或 Windows XP操作系统时，数据库会调用这些字符串。这个漏洞会使数据库容易受到拒绝服务的攻击。