微软紧急安全公告:当心SQL攻击爆发 http://tech.sina.com.cn/roll/2008-12-26/0952934911.shtml
http://www.microsoft.com/china/technet/security/advisory/961040.mspx
微软官方的暂时解决方案
拒绝 sp_replwritetovarbin 扩展存储过程的权限
使用以下过程之一:
?要拒绝对存储过程的访问,请以 sysadmin 身份使用 osql.exe 或 sqlcmd.exe 或者通过 SQL Server Management Studio 连接到 SQL Server,并执行以下 T-SQL 的脚本:
使用 master
deny execute on sp_replwritetovarbin to public
要使用 SQL Server 管理拒绝对存储过程的访问:
1.以 sysadmin 身份使用企业管理器连接到 SQL 服务器
2.从“SQL Server 企业管理器”窗口中,选择所需的服务器
3.展开数据库
4. 展开“主服务器”
5.单击“扩展存储过程”。 出现一个存储过程列表。
6.从存储过程列表中,右键单击 sp_replwritetovarbin,然后选择“属性”
7.在“属性”窗口中,单击“权限”
8.在用户/数据库角色/公共下,找到“公共”,然后单击 EXEC 列中的框。 该框变为一个红色 X。
9.单击“确定”两次
执行拒绝权限可能造成的影响:
禁用 sp_replwritetovarbin 扩展存储过程将阻止所有用户订阅表的更新。 此变通办法只是影响使用具有可更新订阅的事务性复制的客户。 使用具有只读订阅的事务性复制、双向事务性复制,或者对等事务性复制的客户不受影响。