image

Microsoft maakt "per ongeluk vergeten" rce-lek in SQL Server alsnog bekend

woensdag 12 april 2023, 14:37 door Redactie, 7 reacties

Microsoft heeft een kwetsbaarheid in SQL Server waardoor remote code execution mogelijk is alsnog bekendgemaakt. Het techbedrijf kwam afgelopen februari met een beveiligingsupdate voor de kwetsbaarheid in SQL Server 2008, 2014, 2016, 2017, 2019 en 2022, maar was naar eigen zeggen "per ongeluk" vergeten om het bestaan van het lek destijds ook te melden. Volgens securitybedrijf ZDI is er sprake van een "stille patch".

Het beveiligingslek, aangeduid als CVE-2023-23384, betreft een out of bounds kwetsbaarheid in de SQLcmd tool. Een ongeauthenticeerde aanvaller kan hierdoor op afstand code met verhoogde rechten uitvoeren. Volgens Microsoft is het uitvoeren van willekeurige code lastig, aangezien een aanvaller slechts een paar geheugenbytes kan overschrijven. Een aanval zal dan ook eerder leiden tot een crash van de server, aldus Microsoft.

Het techbedrijf stelt dat het in februari het bestaan van de kwetsbaarheid "per ongeluk" was vergeten te melden. Securitybedrijf ZDI spreekt over een stille patch en dat dit geen goede ontwikkeling is. Microsoft geeft geen verdere reden hoe het kan dat de kwetsbaarheid destijds is vergeten. De afgelopen jaren is het een paar keer eerder voorgekomen dat Microsoft het bestaan van een beveiligingslek pas na het uitkomen van de update bekendmaakte.

Reacties (7)
12-04-2023, 14:52 door Anoniem
better that than the other way around :)
12-04-2023, 15:47 door _R0N_
Beter vergeten te melden dan vergeten te patchen
12-04-2023, 16:00 door Anoniem
Door _R0N_: Beter vergeten te melden dan vergeten te patchen
Microsoft meldt zelf nooit kritieke problemen. Dan doen anderen altijd. Verstoppen is tot kunst verheven.
12-04-2023, 17:35 door Anoniem
Door Anoniem:
Door _R0N_: Beter vergeten te melden dan vergeten te patchen
Microsoft meldt zelf nooit kritieke problemen. Dan doen anderen altijd. Verstoppen is tot kunst verheven.
Dat doet Apple....
13-04-2023, 05:16 door Anoniem
Door Anoniem: Microsoft meldt zelf nooit kritieke problemen. Dan doen anderen altijd. Verstoppen is tot kunst verheven.
Als dat zo was dan zou een silent patch of vergeten melding geen nieuws zijn — of maandelijks terugkerend nieuws.
13-04-2023, 09:13 door Anoniem
Het wachten is op de gewenste big event, het hele Internet ligt er voor drie dagen uit.
13-04-2023, 11:56 door Anoniem
Door Anoniem: Het wachten is op de gewenste big event, het hele Internet ligt er voor drie dagen uit.
Je bedoelt zo iets als WannaCry? Helaas had er toen iemand een killswitch gevonden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.