【活用ガイド】

JVNDB-2008-002253

Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシージャの処理における脆弱性

概要

Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシージャのパラメータ処理に脆弱性が存在します。結果として、任意のコードを実行される可能性があります。
なお、本脆弱性に関する実証コードが既に公開されています。

2009年2月11日公開の MS09-004 にて更新プログラムがリリースされました。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 9.0 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 単一
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム


VMware
  • VMware vCenter 4.1
  • VMware vCenter 4.0
  • VMware VirtualCenter 2.5
  • VMware vSphere Update Manager 4.1
  • VMware vSphere Update Manager 4.0
  • VMware vSphere Update Manager 1.0
マイクロソフト
  • Microsoft SQL Server 2000
  • Microsoft SQL Server 2000 Itanium-based Edition
  • Microsoft SQL Server 2005
  • Microsoft SQL Server 2005 x64 Edition
  • Microsoft SQL Server 2005 for Itanium-based Systems
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Express Edition with Advanced Services
  • Microsoft SQL Server 2000 Desktop Engine (MSDE 2000)
  • Microsoft SQL Server 2000 Desktop Engine (WMSDE)
  • Windows Internal Database (WYukon)
  • Windows Internal Database (WYukon) x64 Edition

想定される影響

認証された第三者によって、ユーザの権限で任意のコードを実行される可能性があります。
対策

[アップデートする]
ベンダが提供する情報をもとに最新版へアップデートしてください。

[ワークアラウンドを実施する]
以下の回避策を行うことで想定される影響を軽減できる可能性があります。

[sp_replwritetovarbin 拡張ストアド プロシージャのアクセスを拒否する]
マイクロソフトより sp_replwritetovarbin 拡張ストアド プロシージャへのアクセスを拒否する方法としてセキュリティ アドバイザリ (961040) が公開されています。影響を受けるシステムを使用している場合は、当該情報をもとに回避策を実施してください。
ベンダ情報

VMware マイクロソフト
  • Microsoft Security Advisory : 961040
  • Microsoft Security Bulletin : MS09-004
  • マイクロソフト セキュリティ アドバイザリ : 961040
  • マイクロソフト セキュリティ情報 : MS09-004
  • 絵でみるセキュリティ情報 : MS09-004e
富士通
  • 富士通 セキュリティ情報 : TA09-041A
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2008-5416
参考情報

  1. JVN : JVNVU#696644
  2. JVN : JVNTA09-041A
  3. JVN Status Tracking Notes : JVNTR-2008-09
  4. JVN Status Tracking Notes : JVNTR-2009-05
  5. National Vulnerability Database (NVD) : CVE-2008-5416
  6. JPCERT 緊急報告 : JPCERT-AT-2009-0003
  7. 警察庁 @police : 20081223_125244
  8. 警察庁 @police : 20090217_204539
  9. US-CERT Cyber Security Alerts : SA09-041A
  10. US-CERT Vulnerability Note : VU#696644
  11. US-CERT Technical Cyber Security Alert : TA09-041A
  12. IPA 緊急対策情報 : 20090212-ms09-004
  13. Secunia Advisory : SA33034
  14. SecurityFocus : 32710
  15. VUPEN Security : VUPEN/ADV-2008-3380
更新履歴

  • [2009年02月06日]
      掲載
    [2009年03月10日]
      影響を受けるシステム:マイクロソフト (MS09-004) の情報を追加
      ベンダ情報:マイクロソフト (MS09-004) を追加
      対策:対策方法の記述を更新しました
    [2011年03月04日]
      影響を受けるシステム:VMware (VMSA-2011-0003) の情報を追加
      ベンダ情報:VMware (VMSA-2011-0003) を追加

公表日2008/12/25
登録日2009/02/06
最終更新日2011/03/04