lunes, 25 de enero de 2010

Contramedidas para los fallos al reservar memoria

Igual que se viene presentando para casos anteriores, el fabricante recomienda realizar la actualización de su software lo antes posible, de modo que los defectos que dan lugar a la vulnerabilidad sean subsanados y el sistema pueda funcionar con normalidad.

En este caso, y centrando la atención en los cambios que trae consigo la actualización, hay que considerar que lo que se pretende en esa actualización de seguridad es modificar el modo en el que SQL Server gestiona la reutilización de páginas en memoria, de modo que se destine más memoria para la función de conversión que maneja los datos. Así la función podrá validar los archivos que estén en el disco antes de que se carguen en memoria y a su vez podrá validar las sentencias enviadas por el usuario en la consulta. Con esto se evita que un posible atacante envíe sentencias mal formadas o fuerce a la memoria a reservar regiones no adecuadas para los datos que se están tratando.

Entre las medidas a tomar si no es posible realizar una actualización inmediata del sistema, se trata de incidir en impedir el acceso a los datos a posibles atacantes y en asegurar que la información se trata correctamente en memoria. Para ello se recomienda llevar a cabo las siguientes acciones:

- Activar la opción “Common Criteria Compliance”, que incluye protección para la información residual, permite ver estadísticas del login en el sistema a través de la vista de gestión dinámica “sys.dm_exec_sessions”, o priorizar ajustes de tablas con estado “denegado” a otros ajustes a nivel de columna. Para activar esta opción debe ejecutarse como administrador un pequeño script:

sp_configure 'show advanced options', 1;
GO
RECONFIGURE;
GO
sp_configure 'common criteria compliance enabled', 1;
GO
RECONFIGURE
GO

- Anular el soporte para SMB y WebDAV que implementan los servidores SQL, de modo que se pueda prevenir el acceso a ficheros de forma remota.

Después de realizar los cambios propuestos en la configuración del sistema, se pide que este sea reiniciado para que tomen efecto.

Una vez se pueda instalar la actualización de seguridad deben deshacerse estos cambios para asegurar que el sistema funcione correctamente. Esto se hará volviendo a activar el soporte a los protocolos anulados y ejecutando el script de nuevo, pero cambiando el valor de la variable “common criteria compliance enabled” a '0'.

Esta vulnerabilidad, al igual que las vistas hasta este punto, ha de tratarse lo antes posible. Las actualizaciones disponibles según el software se recogen, para la última versión (2005), bajo el nombre SQLServer2005-KB94810X. Estas podrán descargarse desde los repositorios oficiales de Microsoft.

No hay comentarios:

Publicar un comentario en la entrada