Impatto: esecuzione codice arbitrario sul server
Description: Microsoft SQL Server è vulnerabile ad un buffer overflow che consente ad un remote attacker di eseguire codice arbitrario. Il tutto si basa su una funzione fornita da SQL Server che consente il parsing di parametri di input denominato srv_paraminfo(), che non esegue un corretto controllo di tipo “bounds check”. Se questa debolezza viene sfruttata è possibile, in casi estremi, prendere il possesso della macchina ove gira SQLServer. Le piattaforme a rischio sono: Microsoft SQL Server 7.0 Microsoft SQL Server 2000 Microsoft Data Engine 1.0 (MSDE 1.0) Microsoft SQL Server Desktop Engine 2000 (MSDE 2000) PATCH esistente, in continuo aggiornamento.
