lunes, 18 de enero de 2010

Desbordamiento en la pila: contramedidas

La medida principal que asegurará el correcto funcionamiento del sistema dentro de los parámetros de seguridad deseados, será realizar la correspondiente actualización que el fabricante pone a disposición del usuario una vez se ha identificado la vulnerabilidad y se ha logrado desarrollar una actualización. Si se ha detectado el problema pero aún no se dispone de una actualización, o bien si en ese momento no es posible aplicarla, conviene tomar una serie de medidas que aunque no subsanarán el daño, pueden reducir su peligrosidad o por lo menos las posibilidades de explotarlo.

Estas medidas tendrán que ver con cambios en las opciones de configuración, que básicamente tratan de reducir la funcionalidad asociada al procedimiento “sp_replwritetovarbin”. Para denegarles a los usuarios el acceso a este, se pueden realizar dos acciones:

- Ejecutar la siguiente secuencia T-SQL dentro de SQL Server Management Studio:

use master

deny execute on sp_replwritetovarbin to public

- Acudir al listado “Extended Stored Procedures” de la bases de datos y habiendo localizado el procedimiento, modificar los permisos que tiene asignados en el diálogo “Propiedades”. Esta última operación puede variar según la versión de SQL Server que se esté utilizando.

El hecho de deshabilitar este procedimiento sólo afectará a determinados usuarios que tengan habilitada la replicación transaccional con subscripciones para la actualización de tablas. Pequeñas variaciones de este modelo transaccional no tienen por qué tener problemas al llevar a cabo esta acción.

Una vez tomadas estas medidas, el siguiente paso natural sería actualizar el sistema cuando el fabricante ponga a disposición de los usuarios el correspondiente parche. Para ello se podrá acudir al “Microsoft Update Catalog” (sólo se podrá acceder si se utiliza Internet Explorer 6.0 o superior) y descargar la correspondiente actualización para la versión del software de la que disponga el usuario, utilizando por ejemplo el número del boletín de seguridad de Microsoft que ha publicado la vulnerabilidad (en este caso el MS09-004). Con ello se podrán ver todos aquellos parches disponibles para todo el software afectado.

Una vez descargada e instalada la actualización debe asegurarse el usuario que deshace las medidas tomadas para limitar la funcionalidad del procedimiento conflictivo, de modo que se asegure que se restablece el completo funcionamiento del sistema. Estas medidas son las contrarias a las expuestas antes y se basan en volver a dotar de los privilegios anteriores al procedimiento. Si se saltase este paso el usuario estaría en último término desaprovechando posibilidades del sistema, aunque no tendría por qué ser así dependiendo de la configuración utilizada en la base de datos que administra. Una vez realizado este último paso, el usuario podrá estar seguro de que el sistema no será vulnerable según las directrices que marcaba este boletín, aunque no por ello podrá afirmar tener un sistema completamente seguro.

No hay comentarios:

Publicar un comentario en la entrada