Microsoft SQL Server 2005 Express Edition Service Pack 2への MS09-004 適用について

Question

はじめまして。お世話になります。

現在、自分の管理しているサーバに対して、自社のセキュリティ部門から脆弱性の指摘を受け対応をしています。

指摘された内容は以下の通りです。

Microsoft SQL Server は、ユーザからの入力の適切な処理に失敗すると、リモートからのメモリ破壊の脆弱性に影響を
受ける傾向があります。
この脆弱性は、"sp_replwritetovarbin()" SQL プロシージャの実装における境界エラー
に起因するものです。この問題が悪用されると、特別に細工された引き数が影響を受けるプロシージャに渡されることによってヒープベースの
バッファオーバーフローが引き起こされる可能性があります。

対処として、 MS09-004の適用を指示されていますが、対象サーバはBackupExec12.5に付随するSQL server2005expであり、対応が必要無いのではと考えています。構成マネージャから確認すると、インスタンスなどはない（？）と思いますし、Serverサービス、ネットワーク構成しか無いのです。

exeのバージョン（2005.90.3042.0）からSP2である事は確認しているのですが、適用の可否についてご意見いただきたく。（もし適用する場合は、GDR用になると思いますが、間違いないでしょうか）

SP2はサポート終了ということで、サポートの観点からSP3へのアップデートとなるのでしょうか？

お手数ですが、よろしくお願い致します。

 

Answer 1

サポートの観点からはわかりませんが、SP3 では問題は発生しないとあるので、可能であれば最新の SP を適用されてはどうでしょう。　私は問題がない限り、最新のSPを適用しています。

今回、BackupExec12.5 なので、念のため、SP3 以降を適用しても問題がないかを確認されたほうが良いと思います。

また、私が MS09-004 を適用するのであれば、GDRではなく、修正モジュールを多く含んだ QFE を適用します。

Answer 2

こんにちは、1120TAKE さん。

MSDN フォーラムのご利用ありがとうございます。オペレーターの山本です。

NOBTA さんからの情報は参考になる情報であると思いましたので、勝手ながら私のほうで回答としてマークさせていただきました。
NOBTA さん、情報ありがとうございます。

いただいた情報の中で、解決に役立った投稿や、参考になる情報などの有効な情報には回答としてマークすることをお願いしています。
今後、同じ問題でこのスレッドを参照される方にも、有効な情報がわかりやすくなるかと思いますので、ご協力よろしくお願いいたしますね。

よろしくお願いいたします。それでは。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　                                                          
日本マイクロソフト株式会社 フォーラム オペレーター 山本 春海