A rendszergazdák bent töltik a karácsonyt?

Amerikai idő szerint hétfő este számolt be a Microsoft egy nemrég felfedezett sebezhetőségről, mely a redmondi vállalat SQL Server termékeit érinti. Egészen pontosan a következő szoftvereket: Microsoft SQL Server 2000, Microsoft SQL Server 2005, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2000 Desktop Engine (WMSDE) és Windows Internal Database (WYukon). A vállalat közlése értelmében nem érintettek az alábbi rendszerek: Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 és Microsoft SQL Server 2008.

Ugyan a Microsoft még nem értesült arról, hogy bármely, Internetre csatlakoztatott rendszert támadás ért volna már, nem szabad lebecsülni a sérülékenység jelentőségét. Egyrészt azért, mert sikeres kiaknázása esetén távolról való kódfuttatásra nyílik lehetősége a támadónak, másrészt pedig azért, mert a biztonsági rés pontos leírása már elérhető az Interneten. Innentől kezdve gyakorlatilag csak pár lépés összerakni egy ezt kihasználó kódot, ahogyan történt ez nemrég az Internet Explorer kapcsán is (bővebben itt). A Microsoft emiatt a múlt héten kénytelen volt „időközi” patch-et kiadni böngészőjéhez.

Ennek tükrében nem kizárt, hogy az SQL szerverek is javítást kapnak, aminek telepítése majd nyomon követése még mindig kevésbé ünnepromboló hatású a rendszergazdáknak, mintha egy támadás súlyos következményeit kellene elhárítaniuk, ahelyett, hogy bejglit tömnének magukba otthon, mint mindenki más…