Sicherheitslücken

08.09.2009 12:34

Microsoft: Streit um Sicherheitslücke im SQL-Server

Sicherheitslücken Der SQL Server von Microsoft legt die Passwörter, die zur Anmeldung verwendet werden, im Klartext im Hauptspeicher ab. Ein Administrator kann sie dann wieder auslesen. Microsoft behauptet, dass dies kein Sicherheitsproblem darstellt.

Das Unternehmen Sentrigo, das Sicherheitslösungen für Datenbanken anbietet, ist da anderer Meinung. Da man die gleichen Passwörter oftmals für mehrere Systeme verwendet, würde man einem Angreifer das Leben zu einfach machen, argumentieren die Sicherheitsexperten. So kann man beim SQL Server 2000 und 2005 den Hauptspeicher aus der Ferne auslesen. Beim SQL Server 2008 ist das nicht mehr möglich, da das Tool "DBCC Utility" fehlt.


Microsoft gibt zu, dass es möglich ist, dass zur Anmeldung verwendete Passwort auszulesen. Allerdings müsste ein Angreifer bereits administrativen Zugriff auf das System haben, um das Kennwort in Erfahrung zu bringen. Der Redmonder Konzern ist der Meinung, dass man gegen Administratoren mit böswilligen Absichten so gut wie keine Chance hat.

In einem Blog-Eintrag erklärt Microsoft, dass die SQL-Authentifizierung standardmäßig abgeschaltet ist. Stattdessen wird die Windows-Authentifizierung verwendet, die dieses Problem nicht aufweist. Unterdessen hat Sentrigo ein Tool namens Passwordizer zur Verfügung gestellt, dass die im Hauptspeicher abgelegten Passwörter löscht.

Michael Diestelberg

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] tipsybroom am 08.09.09 12:37 Uhr
 
"Da man die gleichen Passwörter oftmals für mehrere Systeme verwendet..." Welcher Admin macht sowas? o_O
 
[re:1] CHAOS.A.D am 08.09.09 12:43 Uhr
(+3
@tipsybroom: das wird sehr häufig verwendet.... dafür wurde ja auch LDAP "erfunden", um alles über das AD authentifizieren zu können
Bearbeitet am 08.09.09 um 12:44 Uhr.
 
[re:2] cOOl!ng am 08.09.09 12:50 Uhr
(+3
@tipsybroom: Wenn man an die 1000 Systeme betreut und jeden Tag auf verschiedene rauf muss.. Da würde ich mir auch überlegen die irgendwo gleich oder ähnlich zu machen um nicht jedes einzelne System in der Doku nachschlagen zu müssen.
Bearbeitet am 08.09.09 um 12:52 Uhr.
 
[re:3] DennisMoore am 08.09.09 12:57 Uhr
(-1
@cOOl!ng: Wir haben das Problem dadurch gelöst, dass wir alle Servernamen und Administratorpasswörter in eine Excel-Liste eingetragen haben. Diese hängt hier im Büro ausgedruckt an der Wand. Braucht man nur draufgucken und schon weiß man wie man auf die einzelnen Rechner draufkommt ^^
Bearbeitet am 08.09.09 um 12:58 Uhr.
 
[re:4] Sam Fisher am 08.09.09 13:09 Uhr
(-3
@CHAOS.A.D: Stimmt dochgar nicht, die Admin-Passwörter eines Servers werden NICHT per AD verteilt. Das Admin-Konto ist immer Lokal !!!!!


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Beliebte Downloads

Weitere Downloads

Verwandte Videos

Beliebt im Preisvergleich

Sicherheit & Backup Preisvergleich

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

Michael Diestelberg

Redakteur bei WinFuture

Ich empfehle ...
Michael Diestelberg

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

TechNet Online

Security-Tipps

Inforeihe 'Secure Code': Neues zu Kryptographie und Data Protection API 02.02.2012
Kölscher Abend zu rechtlicher und technischer Sicherheit in der Cloud 17.01.2012
Seit zehn Jahren im Dienst der Sicherheit: Microsofts Trustworthy Computing feiert Jubiläum 13.01.2012
Microsoft-Sicherheitsupdates im Januar 11.01.2012
Sicherheitsupdates Januar 2012 10.01.2012
MSDN Magazin im Dezember 04.01.2012
Out of Band-Sicherheitsbulletin für ASP.NET veröffentlicht 29.12.2011
Ankündigung: Out-of-Band-Sicherheitsbulletin für ASP.NET 29.12.2011
[Update] Windows 7 (64-Bit-Version) & Apple Safari: Details zur Schwachstelle 23.12.2011
Microsoft-Sicherheitsupdates im Dezember 14.12.2011
Copyright 2012 & powered by TechNet
Schöpfen Sie Ihr Potenzial aus. Mit TechNet.