ГлавнаяБаза уязвимостей БДУ → BDU:2024-03232
10критическая

BDU:2024-03232 (CVE-2024-28929)

Уязвимость драйвера ODBC для SQL Server операционных систем Windows, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-24
Описание

Уязвимость драйвера ODBC для SQL Server операционных систем Windows связана с целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при условии подключения пользователя к вредоносному SQL–серверу через ODBC и отправки нарушителем вредоносного сетевого пакета

Затрагиваемое ПО и версии
Microsoft Visual Studio 2022 (17.4)Microsoft Visual Studio 2022 (17.6)Microsoft ODBC Driver for SQL Server (17)Microsoft ODBC Driver for SQL Server (18)Microsoft Visual Studio 2022 (17.9)SQL Server (от 16.0.1000.6 до 16.0.1110.1 включительно (2022 RTM+GDR))SQL Server (от 16.0.4003.1 до 16.0.4115.5 включительно (2022 CU12+GDR))SQL Server (от 15.0.4003.23 до 15.0.4355.3 включительно (2019 CU25+GDR))SQL Server (от 15.0.2000.5 до 15.0.2104.1 включительно (2019 RTM+GDR))Microsoft Visual Studio 2019 (от 16.0 до 16.10 включительно)Microsoft Visual Studio 2022 (17.8)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования для предолтвращения возможности удалённого внедрения вредоносных пакетов;
- использование антивирусного программмного обеспечения для отслеживания средств эксплуатации уязвимости.

Использование рекомендаций производителя:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-28929

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-28929
Проверьте безопасность своего сайта и почты → Полная проверка домена