A Microsoft tegnap tett közzé egy újabb adag javítást SQL Server 2000 adatbázisszerveréhez. Három különböző súlyosként besorolt sebezhetőséget is találtak a szakértők az SQL Server azon funkciócsoportjában, amelyek több különböző szerver futtatását teszi lehetővé egyetlen gépen. További két - kevésbé kritikus - hibára derült fény az adatbázisszerver belső ellenőrzési és replikációs funkcióiban is.

A legsúlyosabb két hibát az SQL Server Resolution Service tartalmazza, amelynek feladata a kliensek megfelelő TCP portokra irányítása több párhuzamosan működtetett adatbázisszerver esetén. A pufferhatár-ellenőrzések hiánya miatt előálló biztonsági résen keresztül a támadók tetszőleges kód futtatására vehetik rá a szervert. A harmadik sebezhetőség révén "csak" szolgáltatás-leállítási (DoS) támadás indítható két vagy több SQL szerver bevonásával, mert egy megfelelően preparált csomag segítségével könnyűszerrel rávehetők a szerverek, hogy végtelen ciklusban passzolgassanak egymás között adatcsomagokat, amely mellett már alig jut majd idejük a tényleges kliensek kiszolgálására. A sebezhetőségekről további információ az MS02-39 bulletinben olvashatók, amely oldalról a javítás is letölthető.

A második csoportot képező két hiba nem magában az SQL Serverben rejtőzik, hanem az azokhoz mellékelt segédprogramokban. Ezek közül az egyik - szintén egy hiányzó pufferhatár-ellenőrzés miatt - a Database Consistency Checker eszköz, míg a másik a replikációs funkció segítségével teszi lehetővé a támadó számára tetszőleges kód futtatását a szervergépen. Utóbbi sebezhetőség kihasználása alapesetben nem lehetséges, csak ha egy bizonyos felhasználót explicit engedélyezett az adminisztátor. Ezen hibákról további információk a MS02-038 bulletinben olvashatók.