发布日期：2002-10-02
更新日期：2003-02-06

受影响系统：

Microsoft SQL Server Desktop Engine 2000
Microsoft SQL Server 2000

描述：

---

BUGTRAQ  ID: 5877
CVE(CAN) ID: CVE-2002-1137

Microsoft SQL Server /2000是一款由Microsoft公司开发的商业性质大型数据库系统。

SQL Server 2000自带的数据库控制台命令行工具（Database Console Commands，DBCCs）实现上存在缓冲区溢出漏洞，远程攻击者可能通过此漏洞以SQL进程的权限在服务器上执行任意指令。

此漏洞是MS02-038公告提及漏洞（NSFOCUS_ID:3151）的一个变种，可以被已登录访问的任意SQL用户所利用，使其能以SQL进程的权限在系统上执行任意指令。

<*来源：Martin Rakhmanoff
  
  链接：http://www.microsoft.com/technet/security/bulletin/MS02-038.asp
        http://www.microsoft.com/technet/security/bulletin/MS02-056.asp
        http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
*>

建议：

---

厂商补丁：

Microsoft
---------
Microsoft对MS02-056号公告作为修订，发布了MS02-061号公告，Microsoft建议所有使用SQL 2000或MSDE 2000的用户打上MS02-061公告中给出的补丁：

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333&sd=tech

浏览次数：3701
严重程度：0（网友投票）