Avis de sécurité Microsoft : Une vulnérabilité de SQL Server pourrait permettre l'exécution de code à distance

INTRODUCTION

Microsoft a publié un avis de sécurité concernant une vulnérabilité de Microsoft SQL Server qui pourrait permettre l'exécution de code à distance. Celui-ci contient des informations supplémentaires relatives à la sécurité. Pour afficher cet avis de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante :

http://www.microsoft.com/france/technet/security/advisory/961040.mspxCet article comprend un script VB que vous pouvez utiliser pour appliquer une solution de contournement à toutes les instances actives de SQL Server sur un ordinateur local.

EXEMPLE D'UN SCRIPT VB QUE VOUS POUVEZ UTILISER POUR APPLIQUER LA SOLUTION DE CONTOURNEMENT

Vous pouvez utiliser ce script VB pour refuser l'autorisation Exécuter au rôle Public sur la procédure stockée étendue sp_replwritetovarbin sur toutes les versions affectées de SQL Server actives sur l'ordinateur local.

Microsoft fournit des exemples de programmation à des fins d'illustration uniquement, sans garantie expresse ou implicite. Ceci inclut, de manière non limitative, les garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous connaissez le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les techniciens du Support technique Microsoft peuvent vous expliquer les fonctionnalités d'une procédure particulière. Toutefois, ils ne modifieront pas ces exemples pour fournir des fonctionnalités ajoutées ou des procédures de construction pour satisfaire vos besoins spécifiques.

Copiez ce code dans un fichier texte, enregistrez ce dernier avec une extension de nom de fichier .vbs, puis exécutez le fichier du script à l'aide de CScript.exe. Le script parcourt toutes les instances actives de SQL Server sur l'ordinateur local et applique la solution de contournement sur toutes les versions affectées. Vous devez être membre du rôle sysadmin sur chaque instance de SQL Server pour appliquer la solution de contournement. Si vous n'avez pas de compte Windows qui soit membre du rôle sysadmin sur toutes les versions affectées qui exécute SQL Server, vous pouvez être amené à exécuter ce script à partir de plusieurs comptes. Sur Windows Server 2008 et Windows Vista, si vous utilisez un compte administrateur Windows qui est membre du rôle sysadmin, vous devez exécuter ce script à partir d'une invite de commande avec élévation de privilèges.

'*************************************************************************************
'Description : Ce script parcourt toutes les instances actives de SQL Server et
'            refuse la permission exécuter sur sp_replwritetovarbin à public sur
'            toutes les versions affectées.
'            CECI EST UNE SOLUTION DE CONTOURNEMENT QUI NE DOIT PAS ETRE UTILISEE SI
'            UNE MISE A JOUR DE SECURITE EST FOURNIE ET INSTALLEE.
'*************************************************************************************

OPTION EXPLICIT
ON ERROR RESUME NEXT

' Valeurs constantes
CONST EXIT_SUCCESS       = 0
CONST EXIT_FAILURE       = 1
CONST EXIT_NOINSTANCES   = -1
CONST DEFAULTNAMESPACE   = "root\default"
CONST STDREGPROV         = "stdregprov"
CONST HKEY_LOCAL_MACHINE = &H80000002
CONST REG_MULTI_SZ       = 7
CONST REG_SZ             = 1
CONST adCmdText          = 1


Call VBMain()

Function VBMain()
    Err.Clear
    ON ERROR RESUME NEXT

    Dim sInstances(), strInstance, i, TotalCount
    VBMain = EXIT_SUCCESS
    If GetInstances(sInstances, TotalCount) = FALSE Then
        WScript.Quit EXIT_FAILURE
    End If

    If IsEmptyNull(sInstances) Then 
        WScript.Echo "INFO : Aucune instance présente."
        VBMain = EXIT_NOINSTANCES
        Exit Function
    End If

    For i = 0 To TotalCount-1
        strInstance = sInstances(i,0)
        GetFullInstance strInstance, sInstances(i,1)
        If ApplyFix(sInstances(i,0), strInstance) = FALSE Then
            WScript.Echo "ERREUR : application impossible de la solution de contournement sur " + sInstances(i,0) + "." + vbCRLF
            VBMain = EXIT_FAILURE
        End If
    Next

    WScript.Echo "INFO : traitement de toutes les instances SQL actives terminé."
End Function

Function GetInstances(ByRef sInstances, ByRef TotalCount)
    Err.Clear
    ON ERROR RESUME NEXT

    Dim sInstances1, sInstances2, i
    Dim instCount1, instCount2
    GetInstances = FALSE

    If NOT GetRegValue ("", HKEY_LOCAL_MACHINE, "Software\Microsoft\Microsoft SQL Server", "InstalledInstances", sInstances1, REG_MULTI_SZ, TRUE) Then
        WScript.Echo "ERREUR : échec de la lecture des instances SQL installées sur la machine."
        Exit Function
    End If

    sInstances2 = NULL
    If IsOs64Bit() = TRUE Then
        If NOT GetRegValue ("", HKEY_LOCAL_MACHINE, "Software\Microsoft\Microsoft SQL Server", "InstalledInstances", sInstances2, REG_MULTI_SZ, FALSE) Then
            WScript.Echo "ERREUR : échec de la lecture des instances SQL installées sur la machine."
            Exit Function
        End If
    End If

    If IsEmptyNull(sInstances1) AND IsEmptyNull(sInstances2) Then 
        WScript.Echo "INFO : Aucune instance présente."
        WScript.Quit EXIT_SUCCESS
    End If

    instCount1 = 0
    instCount2 = 0 
    TotalCount = 0
    If IsEmptyNull(sInstances1) = FALSE Then
        instCount1 = UBound(sInstances1) + 1
        TotalCount = instCount1
    End If

    If IsEmptyNull(sInstances2) = FALSE Then
        instCount2 = UBound(sInstances2) + 1
        TotalCount = TotalCount + instCount2
    End If

    ReDim PRESERVE sInstances(TotalCount,1)
    if instCount1 > 0 Then
        For i = 0 To UBound(sInstances1)
            sInstances(i,0) = sInstances1(i)
            sInstances(i,1) = True
        Next
    End If
    If instCount2 >0 Then
        For i = 0 To UBound(sInstances2)
            sInstances(i+instCount1,0) = sInstances2(i)
            sInstances(i+instCount1,1) = FALSE
        Next
    End If
    GetInstances = TRUE
End Function


Function ApplyFix(ByVal strInstance, ByVal strServerName)
    Err.Clear
    ON ERROR RESUME NEXT

    Dim objConn, objCmd, objCmd1, objRS, objRS1
    Dim strCommand, strConn
    Dim strBuildVersion, strProductLevel, bApplyFix

    ' Initialiser la valeur renvoyée
    ApplyFix = FALSE

    strConn = "Provider=sqloledb;Initial Catalog=master;Integrated Security=SSPI;Data Source=" + strServerName + ";"
    ' Vérification des erreurs ignorée intentionnellement pour garder le code court
    Set objConn = CreateObject("ADODB.Connection")
    Set objCmd = CreateObject("ADODB.Command")
    Set objCmd1 = CreateObject("ADODB.Command")

    ' Ouvre une connexion vers la base de données principale
    objConn.Open strConn 
    If ErrorOccurred("Erreur : connexion impossible à " + strInstance) Then
        Set objConn = Nothing
        Exit Function
    End If

    ' Valide la version avant application du correctif
    strCommand = "select SERVERPROPERTY('ProductVersion') as version, SERVERPROPERTY('productlevel') as productlevel"
    objCmd.ActiveConnection = objConn
    objCmd.CommandType = adCmdText
    objCmd.CommandText = strCommand

    Set objRS = objCmd.Execute()
    If ErrorOccurred("ERREUR : exécution impossible de """ + strCommand + """ sur " + strInstance) = TRUE Then
        objConn.Close()
        Set objConn = Nothing
        ApplyFix = FALSE
        Exit Function   
    End If

    strBuildVersion = objRS("version")
    strProductLevel = UCase(objRS("productlevel"))

    bApplyFix = FALSE
    ' Applique la solution de contournement uniquement sur les versions SQL 2000 et SQL 2005 (RTM, SP1 et SP2)
    If (CInt(Mid(strBuildVersion,1,1)) = 8) Then
        bApplyFix = TRUE
    ElseIf CInt(Mid(strBuildVersion,1,1)) = 9 AND (StrComp(strProductLevel,"RTM") = 0 OR StrComp(strProductLevel,"SP1") = 0 OR StrComp(strProductLevel,"SP2") = 0) Then
        bApplyFix = TRUE
    End If 

    If bApplyFix = TRUE Then
        strCommand = "deny execute on sp_replwritetovarbin to public"
        objCmd1.ActiveConnection = objConn
        objCmd1.CommandType = adCmdText
        objCmd1.CommandText = strCommand
        Set objRS1 = objCmd1.Execute()
        If ErrorOccurred("ERREUR : exécution impossible de """ + strCommand + """ sur " + strInstance) = FALSE Then
            WScript.Echo "INFO : Application réussie de la solution de contournement sur " + strInstance + " (" + strBuildVersion + ")." + vbCRLF
            ApplyFix = TRUE
        End If
    Else
        WScript.Echo "INFO : omission de la collecte de données pour " + strInstance + " (" + strBuildVersion + ") car cette instance est non vulnérable." + vbCRLF
        ApplyFix = TRUE
    End If

    objConn.Close()
    Set objConn = Nothing
    Set objCmd = Nothing
    Set objCmd1 = Nothing
    Set objRS = Nothing
    Set objRS1 = Nothing
End Function

Private Function GetRegValue (ByVal strMachineName, ByVal hMainKey, ByVal strPath, ByVal strValueName, ByRef strValue, ByVal iValueType, ByVal b32bit)
    Err.Clear
    ON ERROR RESUME NEXT

    Dim objLocator, objServices, objRegistry, objCtx
    Dim sMultiStrings, lRc
    GetRegValue = TRUE

    'Connecte à WMI et obtient un objet de classe STDREGPROV.
    Set objCtx = CreateObject("WbemScripting.SWbemNamedValueSet")
    If b32bit = TRUE Then
        objCtx.Add "__ProviderArchitecture", 32
    Else
        objCtx.Add "__ProviderArchitecture", 64
    End If
    objCtx.Add "__RequiredArchitecture", TRUE
    set objLocator = createobject("wbemscripting.swbemlocator")
    set objServices = objLocator.connectserver(strMachineName,DEFAULTNAMESPACE, "", "",,,,objCtx)
    set objRegistry = objServices.get(STDREGPROV)
    If ErrorOccurred("ERREUR : connexion impossible à espace de noms WMI " + DEFAULTNAMESPACE) Then
        GetRegValue = FALSE
        Exit Function
    End If 

    lRc = 0
    Select Case iValueType
        ' Uniquement REG_MULTI_SZ
        Case REG_MULTI_SZ
            strValue = ""
            lRC = objRegistry.GetMultiStringValue(hMainKey, strPath, strValueName, sMultiStrings)
            strValue = sMultiStrings
        Case REG_SZ
            strValue = ""
            lRC = objRegistry.GetStringValue(hMainKey, strPath, strValueName, strValue)
        Case Else
            GetRegValue = FALSE
    End Select

    If lRc = 2 Or lRc = 3 Then
        GetRegValue = TRUE
        strValue = ""
    ElseIf Err.Number OR lRc <> 0 Then
        GetRegValue = FALSE
    End If

    Set objLocator = Nothing
    Set objServices = Nothing
    Set objRegistry = Nothing
End Function

Function IsEmptyNull(sCheck)
    IsEmptyNull = FALSE
    If IsObject(sCheck) Then Exit Function
    If IsArray(sCheck) Then Exit Function
    If VarType(sCheck) = vbEmpty Then IsEmptyNull = TRUE : Exit Function
    If VarType(sCheck) = vbNull Then IsEmptyNull = TRUE : Exit Function
    If sCheck = "" Then IsEmptyNull = TRUE
End Function

Private Function ErrorOccurred (ByVal strIn)
    If Err.Number <> 0 Then
        WScript.Echo strIn
        WScript.Echo "ERREUR : 0x" & Err.Number & " - " & Err.Description
        Err.Clear
        ErrorOccurred = TRUE
    Else
        ErrorOccurred = FALSE
    End If
End Function

Function IsOs64Bit()
    Err.Clear
    ON ERROR RESUME NEXT

    Dim objProc
    Set objProc = GetObject("winmgmts:root\cimv2:Win32_Processor='cpu0'")
    If objProc.Architecture = 0 Then
        IsOs64Bit = FALSE
    Else
        IsOs64Bit = TRUE
    End If
End Function

Function GetFullInstance (ByRef strInstanceName, ByVal b32bit)
    Err.Clear
    ON ERROR RESUME NEXT 

    Dim objServices, objClusters, objCluster
    Dim strMacName, isEmpty
    Dim strKey, strInstID

    GetFullInstance = TRUE

    If strComp(UCase(strInstanceName), "MICROSOFT##SSEE", 1) = 0 Then
        strInstanceName = "np:\\.\pipe\mssql$microsoft##ssee\sql\query"
        Exit Function
    End if

    strMacName = ""
    Set objServices = GetObject("winmgmts:root\cimv2")

    ' Interrogation du service de cluster
    Set objClusters = objServices.ExecQuery ("select * from win32_service where Name='ClusSvc' AND Started = TRUE")
    isEmpty = TRUE
    If Err.Number = 0 Then
        For each objCluster in objClusters
            isEmpty = FALSE
        Next
    End If

    Set objServices = Nothing
    Set objClusters = Nothing

    If isEmpty = TRUE Then
        strInstanceName = BuildInstanceName (".", strInstanceName)
        Exit Function
    End If

    ' Si nous arrivons ici, la machine est un noeud en cluster.
    ' Interrogeons le Registre pour déterminer si cette instance SQL est ou non en cluster.
    ' Pour SQL 2000, interrogez la valeur suivante
    ' HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\<nom_instance>\Cluster
    ' ClusterName
    strKey = "SOFTWARE\Microsoft\Microsoft SQL Server\" + strInstanceName + "\Cluster"
    GetRegValue "", HKEY_LOCAL_MACHINE, strKey, "ClusterName", strMacName, REG_SZ, b32bit

    If StrComp(strMacName, "") <> 0 Then
        strInstanceName = BuildInstanceName (strMacName, strInstanceName)
        Exit Function
    End If

    strKey = "SOFTWARE\Microsoft\" + strInstanceName + "\Cluster"
    GetRegValue "", HKEY_LOCAL_MACHINE, strKey, "ClusterName", strMacName, REG_SZ, b32bit

    If StrComp(strMacName, "") <> 0 Then
        strInstanceName = BuildInstanceName (strMacName, strInstanceName)
        Exit Function
    End If

    ' Interrogeons la valeur de Registre pour les instances 2005/2008
    'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL
    ' RegValue = InstanceName
    strInstID = ""
    strKey = "SOFTWARE\Microsoft\Microsoft SQL Server\Instance Names\SQL"
    GetRegValue "", HKEY_LOCAL_MACHINE, strKey, strInstanceName, strInstID, REG_SZ, b32bit

    If StrComp(strInstID, "") = 0 Then
        ' Si cette clé est absente, renvoyer comme une instance locale SQL 2000
        strInstanceName = BuildInstanceName (".", strInstanceName)
        Exit Function
    End If

    strKey = "SOFTWARE\Microsoft\Microsoft SQL Server\" + strInstID + "\Cluster"
    GetRegValue "", HKEY_LOCAL_MACHINE, strKey, "ClusterName", strMacName, REG_SZ, b32bit

    If StrComp(strMacName, "") = 0 Then
        strMacName = "."
    End If

    strInstanceName = BuildInstanceName (strMacName, strInstanceName)
End Function

Function BuildInstanceName (ByVal strMachineName, ByVal strInstanceName)
    Dim strPrefix

    strPrefix = ""
    If StrComp(strMachineName, ".") = 0 Then
        strPrefix = "lpc:"
    End If

    If strComp(UCase(strInstanceName), "MSSQLSERVER", 1) = 0 Then
        BuildInstanceName = strPrefix + strMachineName
    Else
        BuildInstanceName = strPrefix + strMachineName + "\" + strInstanceName
    End if
End Function

Pour plus d'informations sur CScript.exe, reportez-vous au site Web de Microsoft à l'adresse suivante :

http://technet.microsoft.com/en-us/library/bb490887.aspxRemarque Nous conseillons de ne pas utiliser ce script si vous avez reçu et installé une mise à jour de sécurité.

PROBLÈMES CONNUS SUSCEPTIBLES DE SURVENIR LORS DE L'EXÉCUTION DE CE SCRIPT

Problème 1

Lorsque vous exécutez le script, le message d'erreur suivant apparaît :

ERREUR : exécution impossible de "deny execute on sp_replwritetovarbin to public" sur <nom_instance>
ERREUR : 0x-2147217900 - Impossible de trouver l'objet 'sp_replwritetovarbin', parce qu'il n'existe pas ou que vous n'avez pas l'autorisation nécessaire.
ERREUR : application impossible de la solution de contournement sur <nom_instance>.

Cause 1

Ce message d'erreur s'affiche si vous ne disposez pas des autorisations requises pour appliquer la modification. Ce message d'erreur indique que vous avez pu vous connecter à l'instance "<nom_instance>."

Ce message d'erreur est classique de SQL Server Express où le groupe « Built-In\Users » dispose par défaut d'une connexion à la base de données. Or, ce groupe n'est pas membre du rôle sysadmin.

Ce message d'erreur peut également apparaître si vous avez supprimé la procédure the sp_replwritetovarbin. Cette recommandation provenait d'un rapport d'une tierce partie. Nous ne conseillons pas de supprimer la procédure stockée. Nous recommandons plutôt d'appliquer cette solution.

Solution 1

Assurez-vous que le compte avec lequel vous vous connectez est membre du rôle sysadmin sur cette instance de la base de données. Si ce n'est pas le cas, ajoutez l'utilisateur avec lequel vous vous connectez au rôle sysadmin ou utiliser un autre compte d'utilisateur. Avec SQL Server 2005 et versions antérieures, le groupe « Built-in\Administrators » est par défaut membre du rôle sysadmin. Lorsque vous exécutez ce script sur Windows Vista ou Windows Server 2008, veillez à l'exécuter à partir d'une invite de commande avec élévation de privilèges.

Problème 2

Si vous exécutez ce script dans SQL Server 2005, le message d'erreur suivant s'affiche :

Erreur : connexion impossible à <nom_instance>
ERREUR : 0x-2147217843 - Échec de la connexion pour l'utilisateur '<utilisateur>'.
ERREUR : application impossible de la solution de contournement sur <nom_instance>.

Cause 2

Ce message d'erreur s'affiche si vous n'avez pas pu vous connecter à l'instance « <nom_instance> » bien que celle-ci existe.

Ce message d'erreur apparaît généralement lorsque vous vous connectez à la base de données interne Windows ou à des instances Microsoft SQL Server 2000 Desktop Edition (Windows). Généralement, aucun compte d'utilisateur ne dispose d'informations de connexion à ces bases de données.

Solution 2

Assurez-vous que le compte avec lequel vous exécutez le script a un compte de connexion à la base de données qui est membre du rôle sysadmin.

Nous ne recommandons pas d'ajouter d'utilisateurs individuels à la base de données interne Windows ni aux bases de données Microsoft SQL Server 2000 Desktop Edition (Windows). Si vous le faites, les utilisateurs ajoutés risquent de perturber le fonctionnement normal de ces bases de données. Dans ce cas, veillez à vous connecter à partir d'un compte qui est membre du rôle sysadmin. Le groupe « Built-in\Administrators » de Windows est par défaut généralement membre du rôle sysadmin dans SQL Server 2005 et les versions précédentes. Lorsque vous exécutez ce script sur Windows Vista ou Windows Server 2008, veillez à le faire à partir d'une invite de commandes avec élévation de privilèges.

Problème 3

Vous êtes susceptible de rencontrer une instance d'une base de données nommée MICROSOFT##SSEE, alors que vous n'avez pas installé cette base de données.

Cause 3

Il s'agit de la base de données interne Windows, également appelée « SQL Server Embedded Edition », ou parfois « Windows Internal Database », ou encore « Microsoft SQL Server 2000 Desktop Edition (Windows) ». Elle est installée avec certains produits Microsoft, dont SharePoint Services.

Solution 3

Le script de la solution de contournement est conçu pour fonctionner avec la base de données interne Windows. Aucune action n'est nécessaire de votre part.

Certaines applications ne suppriment pas la base de données interne Windows lors de leur désinstallation.
Pour plus d'informations sur la suppression de la base de données interne Windows, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

920277 La base de données interne Windows n'est pas répertoriée par l'outil Ajout/Suppression de programmes et n'est pas supprimée lors de la suppression de Windows SharePoint Services 3.0 de l'ordinateur

Problème 4

Lorsque vous exécutez le script, le message d'erreur suivant apparaît :

Erreur : connexion impossible à .\<nom_instance>
ERREUR : 0x-2147467259 - [DBNETLIB][ConnectionOpen (Connect()).]SQL Server n'existe pas ou l'accès est refusé

Cause 4

Ce message d'erreur s'affiche si les conditions suivantes sont remplies :

Une version 32 bits de SQL Server 2000 est installée sur un système d'exploitation x64 bits.
Une version 64 bits de SQL Server 2005 ou de SQL Server 2008 est installée sur l'ordinateur.

Ce message d'erreur s'affiche lorsque le script utilise la version 64 bits du fichier dbmslpcn.dll. Cette version ne peut pas communiquer avec les instances WoW de SQL Server 2000.

Résolution 4

Utilisez la version 32 bits du fichier cscript.exe situé dans le dossier %WINDOWS%\SysWOW64 pour lancer le script. Ce fichier charge la version 32 bits du fichier dbmslpcn.dll qui peut détecter les instances WoW.

Références

Pour plus d'informations sur la façon d'identifier votre version et votre édition de SQL Server, cliquez sur le numéro ci-dessous pour afficher l'article correspondant de la Base de connaissances Microsoft.

321185 COMMENT FAIRE : Identification de la version et de l'édition du Service Pack SQL Server

Plus d'informations

Le tableau suivant répertorie les révisions techniques majeures de cet article. Le numéro de révision et la dernière date de révision de cet article peuvent refléter des révisions structurelles ou éditoriales mineures qui ne figurent pas dans le tableau.

Date	Révisions
31 décembre 2008	Comprend un script mis à jour qui détecte les instances de clusters avec basculement SQL Server.
30 décembre 2008	Comprend un script mis à jour qui détecte les versions 32 bits de SQL Server qui s'exécutent sur des versions 64 bits de Windows.