SQL Server 7.0 : Ein Loch ist im Server...
23. August 2000
Aufgepasst beim Betrieb von Microsofts SQL 7.0 Server im Internet: Ein bei der Installation vergessenes Passwort kann ungebetenen Gästen Tür und Tor öffnen.
Durch dieses Loch kann man Zugriff auf den Datenbankinhalt erhalten und sogar eigenen Code zur Ausführung bringen.
Beim Setup wird automatisch ein Benutzerkonto mit einem leeren Kennwort für den Administrator erzeugt. "Slashdot" berichtet, dass weltweit Hunderte von Servern existieren bei denen dieses Passwort nie geändert wurde. Das gleiche Problem hatte übrigens im April "Piranha" von Red Hat.
Microsoft (Kommentar: "Das ist nicht unser Fehler") empfiehlt folgende Vorgehensweisen, um das Problem zu beheben:
-Lassen Sie den Server im Integrated-Authentication-Modus statt mit Mixed-Mode-Athentication laufen.
-Falls das nicht möglich ist: Das Passwort sofort ändern
-Hereinkommenden Datenverkehr bei der Internet-Schnittstelle (Router /Firewall) abblocken, und nur Protokolle die ihren internen Sicherheitsbestimmungen entsprechen durchlassen. (hjm)
Durch dieses Loch kann man Zugriff auf den Datenbankinhalt erhalten und sogar eigenen Code zur Ausführung bringen.
Beim Setup wird automatisch ein Benutzerkonto mit einem leeren Kennwort für den Administrator erzeugt. "Slashdot" berichtet, dass weltweit Hunderte von Servern existieren bei denen dieses Passwort nie geändert wurde. Das gleiche Problem hatte übrigens im April "Piranha" von Red Hat.
Microsoft (Kommentar: "Das ist nicht unser Fehler") empfiehlt folgende Vorgehensweisen, um das Problem zu beheben:
-Lassen Sie den Server im Integrated-Authentication-Modus statt mit Mixed-Mode-Athentication laufen.
-Falls das nicht möglich ist: Das Passwort sofort ändern
-Hereinkommenden Datenverkehr bei der Internet-Schnittstelle (Router /Firewall) abblocken, und nur Protokolle die ihren internen Sicherheitsbestimmungen entsprechen durchlassen. (hjm)
Artikel kommentieren
