Microsoft SQL Server 2008 R2 SP2/2008 SP3/2012 SP1/2014 SQL Master Data Services Denial of Service

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.00

Zusammenfassunginfo

In Microsoft SQL Server 2008 R2 SP2/2008 SP3/2012 SP1/2014 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente SQL Master Data Services. Dank Manipulation mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2014-4061 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Es ist soweit kein Exploit verfügbar. Als bestmögliche Massnahme wird Patching empfohlen.

Detailsinfo

In Microsoft SQL Server 2008 R2 SP2/2008 SP3/2012 SP1/2014 (Database Software) wurde eine Schwachstelle ausgemacht. Sie wurde als kritisch eingestuft. Hierbei betrifft es unbekannter Programmcode der Komponente SQL Master Data Services. Dank Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-399. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 12.08.2014 als MS14-044 in Form eines bestätigten Bulletins (Technet) an die Öffentlichkeit getragen. Auf technet.microsoft.com kann das Advisory eingesehen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 12.06.2014 mit CVE-2014-4061 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.

Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 77161 (MS14-044: Vulnerability in SQL Server Could Allow Elevation of Privilege (2984340) (uncredentialed check)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 90973 (Microsoft SQL Server Elevation of Privilege and Denial of Service Vulnerability (MS14-044)) zur Prüfung der Schwachstelle an.

Die Schwachstelle lässt sich durch das Einspielen des Patches MS14-044 beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat folglich sofort reagiert.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (95003), Tenable (77161), SecurityFocus (BID 69088†), Secunia (SA60676†) und SecurityTracker (ID 1030716†) dokumentiert. In deutscher Sprache berichtet unter anderem Heise zum Fall. Von weiterem Interesse können die folgenden Einträge sein: VDB-67353 und VDB-67355. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Denial of Service
CWE: CWE-399 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 77161
Nessus Name: MS14-044: Vulnerability in SQL Server Could Allow Elevation of Privilege (2984340) (uncredentialed check)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍

OpenVAS ID: 802074
OpenVAS Name: Microsoft SQL Server Elevation of Privilege Vulnerability (2984340) - Remote
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Patch: MS14-044

Timelineinfo

12.06.2014 🔍
12.08.2014 +61 Tage 🔍
12.08.2014 +0 Tage 🔍
12.08.2014 +0 Tage 🔍
12.08.2014 +0 Tage 🔍
12.08.2014 +0 Tage 🔍
12.08.2014 +0 Tage 🔍
12.08.2014 +0 Tage 🔍
13.08.2014 +1 Tage 🔍
13.08.2014 +0 Tage 🔍
10.02.2022 +2738 Tage 🔍

Quelleninfo

Hersteller: microsoft.com

Advisory: MS14-044
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2014-4061 (🔍)
GCVE (CVE): GCVE-0-2014-4061
GCVE (VulDB): GCVE-100-67354

OVAL: 🔍
IAVM: 🔍

X-Force: 95003
SecurityFocus: 69088 - Microsoft SQL Server CVE-2014-4061 Local Denial of Service Vulnerability
Secunia: 60676 - Microsoft SQL Server Cross-Site Scripting and Denial of Service Vulnerabilities, Less Critical
SecurityTracker: 1030716
Vulnerability Center: 45808 - [MS14-044] Microsoft SQL Server 2008, 2012 Remote DoS Vulnerability due to Stack Overrun, Medium

Heise: 2291321
Siehe auch: 🔍

Eintraginfo

Erstellt: 13.08.2014 12:12
Aktualisierung: 10.02.2022 16:53
Anpassungen: 13.08.2014 12:12 (81), 04.06.2017 10:44 (8), 10.02.2022 16:46 (3), 10.02.2022 16:53 (1)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!