Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Haavoittuvuudet > 2004 > CERT-FI haavoittuvuustiedote 028/2004

CERT-FI haavoittuvuustiedote 028/2004

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

14.4.2004

Haavoittuvuus Microsoft Jet Database Engine -tietokantaohjelmistossa

     
Kohde: - palvelimet ja palvelinsovellukset
- työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Microsoft Jet Database Engine on ohjelmisto, jota käytetään tietokantaohjelmistojen yhteyksien muodostamiseen eri sovelluksissa kuten Microsoft Access ja Microsoft Visual Basic -sovelluksissa sekä monissa muiden ohjelmistovalmistajien sovelluksissa. Microsoft Jet Database Engine -ohjelmistosta on löydetty puskuriylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa omia komentojaan kohdejärjestelmässä ja saada tätä kautta kohdejärjestelmä hallintaansa.

Haavoittuvuutta voidaan hyväksikäyttää luomalla hyökkäystä varten tehty tietokantakysely ja lähettämällä se sovellukselle, joka käyttää Microsoft Jet Database Engine -ohjelmistoa haavoittuvassa tietojärjestelmässä.

Microsoft on luokitellut haavoittuvuuden Important-luokituksen mukaisesti. Lisätietoa haavoittuvuudesta, sen kriittisyydestä sekä haavoittuvuutta rajaavista seikoista eri Windows-ympäristöissä on saatavilla osoitteesta:

http://www.microsoft.com/technet/security/bulletin/ms04-014.mspx

HAAVOITTUVAT OHJELMISTOT:

  • Windows NT 4.0 (Workstation ja Server, Service Pack 6a)

  • Windows NT 4.0 Terminal Server Edition (Service Pack 6)

  • Windows 2000 Server (kaikki versiot, Service Pack 2, Service Pack 3, Service Pack 4)

  • Windows XP (alkuperäinen RTM-versio ja Service Pack 1)

  • Windows XP 64-bit Edition (Service Pack 1 ja version 2003)

  • Windows Server 2003 (kaikki versiot)

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva tietojärjestelmä korjaustiedostolla, joka on ladattavissa osoitteesta:

http://www.microsoft.com/technet/security/bulletin/ms04-014.mspx

LISÄTIETOA:

http://www.microsoft.com/technet/security/bulletin/ms04-014.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0197

PÄIVITYSHISTORIA:

14.04.2004: Julkaistu
 Kommentoi 
Sivua päivitetty 27.07.2007   Tulostusversio Tulostusversio