Ve starší verzi Microsoft SQL Serveru je kritická chyba. Microsoft záplatu zatím neuvolnil, ale nabízí uživatelům postup, jak problém obejít.
Podle amerického Computerworldu začala historie tohoto problému v dubnu 2008. Rakouská bezpečnostní firma Sec Consult tehdy dle vlastního vyjádření Microsoft upozornila na chybu. Poté, co Microsoft údajně nereagoval, byl ze strany Sec Consult zveřejněn i možný způsob zneužití. Microsoft měl v září podle Sec Consult záplatu již k dispozici, nicméně z neznámých důvodů nebyla publikována.
Chyba se týká procedury sp_replwritetovarbin ve verzích SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine a Microsoft SQL Server 2000 Desktop Engine. Novější verze jsou proti útokům imunní. Zneužití je možné i vzdáleně přes SQL injection, kvůli čemuž se problém řadí do kategorie kritických chyb. Pro ochranu by nicméně v zásadě mělo stačit zakázat proceduru sp_replwritetovarbin a Microsoft se dle vyjádření neobává, že by problém mohl být široce zneužit, nicméně zveřejnění celého postupu zneužití se firmě samozřejmě nelíbí.
V tuto chvíli není jasné, zda bude vydána ze strany Microsoftu nějaká speciální oprava.
Zdroj: Computerworld.com