Patch Tuesday: bug SQL Server alsnog platgeslagen

De vooraankondiging wijst erop dat de patches voor IE en Exchange vanuit Redmond als kritiek worden aangemerkt. De kwetsbaarheden in SQL Server en Office Visio krijgen het predicaat 'belangrijk' mee, het tweede dreigingsniveau op de schaal die Microsoft hanteert. In alle gevallen zouden de bugs het mogelijk maken om van afstand code op een systeem te draaien.

Zoals altijd bij de vooraankondiging het geval is, worden niet heel veel details prijsgegeven over de fouten die verholpen gaan worden. In het geval van SQL Server gaat het hoogstwaarschijnlijk om een in december gerapporteerd lek, zegt vaste Patch Tuesday-commentator Andrew Storms van nCircle tegen Computerworld.

Door de bug in de sp_replwritetovarbin replicatieprocedure zouden een aantal oudere versies van SQL Server kwetsbaar zijn. "Ik heb de in het beveiligingsbericht genoemde kwetsbare versies van SQL Server op een rijtje gezet, en het komt bijna een-op-een overeen met wat we wisten", zegt Storms. Het gaat om SQL Server 2000, de SQL Server 2000 Desktop Engine, SQL Server 2000 voor Itanium en SQL Server 2005 (ook de Express-editie) zonder SP3. SQL Server 2008 kent het probleem niet. Toen de bug opdook gaf Microsoft nog aan dat het met Patch Tuesday van vorige maand opgelost zou worden, maar dat is dus een maand opgeschoven.

De lekken in Exchange lijken een verplicht nummertje te worden voor beheerders. Niet alleen is de update als 'kritiek' aangemerkt, het pakket is ook zeer wijdverspreid. Bovendien gaat het patchen niet ten koste van bedrijfscontinuïteit, omdat de server volgens de aankondiging niet herstart hoeft te worden.

De IE7-bugs lijken vooral een desktop-aangelegenheid te worden. De versies voor XP en Vista zijn als kritisch aangemerkt, terwijl die voor Windows Server 2003 en 2008 naar belangrijk zijn geschaald. Opvallend is daarbij dat het puur gaat om versie 7 van de browser, en niet om de oudere versies.

De patches worden dinsdag rond zeven uur 's avonds beschikbaar gesteld.

Bron: Techworld