公告名称（MS02-061）：SQL Server Web任务存在权限提升漏洞

　　发布时间：2002-10-16

　　危险级别：高

　　厂商建议：系统管理员应尽快安装补丁

　　受影响软件：

　　Microsoft SQL Server 7

　　Microsoft SQL Server 2000

　　Microsoft MSDE 1.0

　　Microsoft MSDE 2000

　　漏洞描述：

　　SQL Server 7.0及2000提供了存储程序，这是以同一名字存储的Transact-SQL 语句的集合，以组的方式进行处理。假如将一个存储程序、一个扩展存储程序及表格底权限进行结合的话，可使底权限用户具有运行、删除、插入或更新Web任务的能力。

　　具有访问SQL Server权限的黑客可删除、插入或更新由其他用户创建的所有Web任务。另外，黑客可以Web任务创建者的权限运行已创建的Web任务，这就好比以SQL Server Agent帐号登陆的情况下运行。

　　解决办法：

　　微软已提供了相应的补丁，请用户对照下载：

　　Microsoft SQL Server 7.0 (SP4):

　　http://support.microsoft.com/default.aspx?scid=kb;en-us;Q327068&sd=tech

　　Microsoft SQL Server 2000 (SP2):

　　http://support.microsoft.com/default.aspx?scid=kb;en-us;Q316333&sd=tech