Passwörter im Klartext lesbar: Sicherheitsdiskussion um Microsofts SQL-Server
Microsofts SQL Server speichert die Passwörter für den Zugriff auf die Datenbanken im Hauptspeicher des Servers unverschlüsselt.
In einem Blog-Eintrag auf Technet hat Microsoft sich mittlerweile zu der angeblichen Sicherheitslücke geäußert. Microsoft bestätigt darin, dass die Passwörter im Klartext ausgelesen werden können, sieht dies jedoch nicht als Sicherheitslücke. Um die Passwörter auszulesen sind administrative Berechtigungen auf den SQL Server nötig. Diese muss ein Angreifer also zunächst durch andere Sicherheitslücken bekommen – außer es handelt sich um einen internen Administrator als Angreifer.
Für die meisten SQL-Server-Nutzer gibt es jedoch eine vollständige Entwarnung: Bettoffen sind nämlich nur Passwörter der SQL-Server-Authentifizierung, die in SQL Server 2005 und 2008 standardmäßig deaktiviert sind. Passwörter der integrierten Windows-Authentifizierung sind gar nicht betroffen. Sie sollte daher möglichst diese Methode für die Anmeldung an Ihren SQL Servern verwenden.
Microsoft will trotzdem in den zukünftigen SQL-Server-Versionen die Tools zum Auslesen des Hauptspeichers nicht mehr mitliefern.
Ähnliche
- So nutzen Sie Biometrie für die sichere Authentifizierung
- Ändern Sie Ihr Typo3.org-Passwort
- Stoppen Sie Angriffe per sp_replwritetovarbin auf Ihren SQL Server 2000/2005
- Administratoren aufgepasst: Microsoft stellt Ihnen die Beta der WSUS 3.0 SP2 bereit
- Dreister Phishing-Trick zielt auf Zugangsdaten Ihrer Outlook-Postfächer ab
Das Neueste aus dem ComputerWissen NET (?)
Kommentieren Sie jetzt diesen Artikel