Windowswurm SQL Server

Sloter · 25.01.2003, 23:12

SQL-Server-Wurm verbreitet sich massiv und sorgt für Netzstörungen
(2003-01-25 13:51:00.410652+01)

Ein SQL-Server-Wurm sorgt derzeit für globale Netzwerkstörungen.
Netzwerkadministratoren sollten wenn möglich UDP-Port 1434 temporär
sperren.

Betroffene Systeme
* Netzwerkinfrastruktur

Einfallstor
Paket an UDP-Port 1434

Auswirkung
Weiterverbreitung des Wurm was derzeit zu stark erhöhtem Netzverkehr
führt.

Typ der Verwundbarkeit
SQL-Server-Wurm

Gefahrenpotential
hoch (massive Netzstörungen durch stark erhöhten Netzverkehr)
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Ein Wurm, der eine Pufferüberlaufschwachstelle im Microsoft SQL-Server
zur Verbreitung ausnutzt, sorgt für massive Netzstörungen.
Netzwerkadministratoren sollten eine temporäre Sperrung von UDP-Port
1434 in Betracht ziehen. Diese Sperrung sollte wenn möglich für ein-
und ausgehenden Verkehr gelten. Da zahlreiche Internet Service
Provider derzeit ebenfalls die Sperrung von UDP-Port 1434 vornehmen,
ist ggf. mit Einschränkungen zu rechnen (falls Dienste UDP-Port 1434
verwenden).

Die Schwachstelle im Microsoft SQL-Server, die dieser Wurm offenbar
ausnutzt, ist seit July 2002 öffentlich bekannt und kann durch einen
Patch von Microsoft geschlossen werden (siehe [2][MS/SQL Server]
Pufferüberlaufschwachstelle im SQL Server 2000).

Weitere Information zu diesem Thema
* [3]Microsoft SQL Slammer Worm Propagation (ISS)
* [4]Microsoft Security Bulletin MS02-039 Buffer Overruns in SQL
Server 2000 Resolution Service Could Enable Code Execution
(Q323875)

Aktuelle Version dieses Artikels
[5]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[6]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen
2. http://cert.uni-stuttgart.de/ticker/article.php?mid=898
3. http://bvlive01.iss.net/issEn/delive....jsp?oid=21824
4.
http://www.microsoft.com/technet/tre...n/MS02-039.asp
5. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065
6. http://CERT.Uni-Stuttgart.DE/

25.01.2003, 23:12	#1
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Windowswurm SQL Server SQL-Server-Wurm verbreitet sich massiv und sorgt für Netzstörungen (2003-01-25 13:51:00.410652+01) Ein SQL-Server-Wurm sorgt derzeit für globale Netzwerkstörungen. Netzwerkadministratoren sollten wenn möglich UDP-Port 1434 temporär sperren. Betroffene Systeme * Netzwerkinfrastruktur Einfallstor Paket an UDP-Port 1434 Auswirkung Weiterverbreitung des Wurm was derzeit zu stark erhöhtem Netzverkehr führt. Typ der Verwundbarkeit SQL-Server-Wurm Gefahrenpotential hoch (massive Netzstörungen durch stark erhöhten Netzverkehr) (Hinweise zur [1]Einstufung des Gefahrenpotentials.) Beschreibung Ein Wurm, der eine Pufferüberlaufschwachstelle im Microsoft SQL-Server zur Verbreitung ausnutzt, sorgt für massive Netzstörungen. Netzwerkadministratoren sollten eine temporäre Sperrung von UDP-Port 1434 in Betracht ziehen. Diese Sperrung sollte wenn möglich für ein- und ausgehenden Verkehr gelten. Da zahlreiche Internet Service Provider derzeit ebenfalls die Sperrung von UDP-Port 1434 vornehmen, ist ggf. mit Einschränkungen zu rechnen (falls Dienste UDP-Port 1434 verwenden). Die Schwachstelle im Microsoft SQL-Server, die dieser Wurm offenbar ausnutzt, ist seit July 2002 öffentlich bekannt und kann durch einen Patch von Microsoft geschlossen werden (siehe [2][MS/SQL Server] Pufferüberlaufschwachstelle im SQL Server 2000). Weitere Information zu diesem Thema * [3]Microsoft SQL Slammer Worm Propagation (ISS) * [4]Microsoft Security Bulletin MS02-039 Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875) Aktuelle Version dieses Artikels [5]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1065 Hinweis Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet. Copyright © 2003 RUS-CERT, Universität Stuttgart, [6]http://CERT.Uni-Stuttgart.DE/ References 1. http://CERT.Uni-Stuttgart.DE/ticker/...ehrdungsstufen 2. http://cert.uni-stuttgart.de/ticker/article.php?mid=898 3. http://bvlive01.iss.net/issEn/delive....jsp?oid=21824 4. http://www.microsoft.com/technet/tre...n/MS02-039.asp 5. http://CERT.Uni-Stuttgart.DE/ticker/...e.php?mid=1065 6. http://CERT.Uni-Stuttgart.DE/

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)