前幾天我才寫 SQL Server 2005 SP3 已出爐(Released),今天就看到另一個 SQL Server 的重大弱點公布,而且影響的 SQL Server 版本遍及 SQL Server 7.0 , SQL Server 2000 到 SQL Server 2005 等,只有以下幾種版本能倖免於難:
- Microsoft SQL Server 7.0 Service Pack 4
- Microsoft SQL Server 2005 Service Pack 3
- Microsoft SQL Server 2005 x64 Edition Service Pack 3
- Microsoft SQL Server 2005 with SP3 for Itanium-based Systems
- Microsoft SQL Server 2008
- Microsoft SQL Server 2008 x64 Edition
- Microsoft SQL Server 2008 for Itanium-based Systems
這個重大弱點(Vulnerability)主要能讓已授權登入的使用者能夠遠端執行任意程式,因此這樣的攻擊面其實有限,因為所有匿名登入資料庫的使用者是無法入侵的,但駭客還是有可能透過 Web 利用 SQL Injection 的漏洞進入資料庫主機執行任意程式,風險還是有的!
在微軟的 Microsoft Security Advisory (961040) 中僅列出以下這些版本會受到這個弱點影響:
- Microsoft SQL Server 2000 Service Pack 4
- Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4
- Microsoft SQL Server 2000 Desktop Engine (WMSDE)
- Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4
- Microsoft SQL Server 2005 Service Pack 2
- Microsoft SQL Server 2005 x64 Edition Service Pack 2
- Microsoft SQL Server 2005 with SP2 for Itanium-based Systems
- Microsoft SQL Server 2005 Express Edition Service Pack 2
- Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 2
- Windows Internal Database (WYukon) Service Pack 2
但我覺得大部分公司應該都是安裝這些版本吧,除了 SQL Server 2000 已停止技術支援外(沒有微軟的延長技術授權合約應該無法更新此問題),SQL Server 2005 還是建議各位找時間升級到 Service Pack 3 的版本吧。(記得升級前要備份資料庫喔)
相關連結