微软警告SQLServer存在安全漏洞

微软称，该公司推出的SQL Server数据库存在两个安全漏洞，将使其产品容易受到拒绝服务攻击，并为黑客执行恶意代码“提供便利”。

在微软发布的安全公告中指出，这两个安全漏洞会对SQL Server 2000和SQL Server 7.0产生影响，影响的方式主要与SQL Server在收到请求后创建和显示文本信息的方式有关。微软将这两个安全漏洞分别归类为“中”和“低”。

根据安全公告，第一个漏洞很严重，是由于限制文本大小的SQL Server文本生成功能失败造成的。该漏洞会导致所谓的内存溢出故障，使黑客能够在系统中执行恶意代码。黑客对系统的破坏程度取决于系统管理员配置的系统安全参数。在最糟糕的情况下，黑客可以获得对数据库甚至服务器的重要控制，可以“添加、删除或更改数据库中的数据，甚至重新配置操作系统、安装新软件或格式化硬盘。”

第二个安全漏洞与格式化文本字符串的C run库函数有关。在Windows NT 4.0、Windows 2000或Windows XP上运行时，数据库会调用这些字符串。微软称，这一安全漏洞使得数据库容易受到拒绝服务攻击。C运行时库是一系列支持C语言编程的可执行代码。当接受格式化字符串进行打印的函数在使用前不能正确确认其有效性时，就会导致“格式化字符串”安全漏洞。

微软建议所有运行SQL Server 7.0和SQL Server 2000的系统都需要安装第一个安全漏洞的补丁。只有最有可能被攻击的系统才需要安装第二个补丁，因为补丁本身就有缺陷。建议用户等待下一个SQL Server service pack的发布。