Microsoft SQLXML存在缓冲溢出可导致代码执行MS02-030发布时间:2002-06-13 更新时间:2002-06-13 严重程度:高 威胁程度:普通用户访问权限 错误类型:边界检查错误 利用方式:服务器模式 受影响系统 Microsoft SQLXML, which ships as part of SQL Server 2000 and can be downloaded separately.详细描述 SQLXML可以使XML数据和SQL SERVER 2000之间传输,数据库查询可以返回在XML文档中,使用SQLXML,你可以使用XML通过浏览器访问SQL SERVER 2000。 SQLXML存在两个漏洞: 1,ISAPI扩展中存在缓冲溢出,可导致以IIS进程的权限在系统上执行任意命令。 2,指定XML标识符函数存在漏洞可导致攻击者以较高权限在用户计算机上执行代码,如可以以intranet zone安全区域下执行代码。 测试代码 无 解决方案 补丁下载: Microsoft SQLXML version shipping with SQL 2000 Gold: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=39547 Microsoft SQLXML version 2: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38480 Microsoft SQLXML version 3: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=38481 相关信息 参考:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-030.asp |
