SQLSlacker-Wurm

Am Samstag, dem 25.01.03, war das Hochschulnetz etwa von 6.30 Uhr bis 11.30 Uhr nicht vom Internet aus erreichbar. Die Ursache war der Befall von nicht gepatchten Microsoft SQL-Servern im Hochschulnetz mit dem SQLSlacker-Wurm (siehe Heise). Nach Deaktivierung der betroffenen Subnetze war der Betrieb am Samstag Mittag wieder stabil. Momentan ist der vom Wurm verwendete UDP-Port 1434 am WiN blockiert.

Gemäß Heise News verbreitet sich der SQLSlammer, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Für diese Anfälligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch, der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde.