MS-SQL: Kostenloses Tool schließt Sicherheitslücke

Big DataData & StorageIT-ManagementIT-ProjekteSicherheitSicherheitsmanagement

Microsoft sagt, es handele sich um kein Softwareleck, man vertraue den SQL-Administratoren. Der Sicherheitsanbieter Sentrigo aber findet es gar nicht gut, dass Passwörter angemeldeter Nutzer im Hauptspeicher liegen.

Manche Versionen von Microsofts SQL-Server legen Nutzer-Passwörter ungeschützt im Hauptspeicher ab, wo sie zumindest für Administratoren im Klartext lesbar seien, warnte der Sicherheits-Anbieter Sentrigo Ende voriger Woche.

Gegen böswillige Admins könne ohnehin nichts mit Software getan werden, reagierte MS. Während Microsoft den Administratoren vertraut, findet Sentrigo, dass zum Beispiel die in der Finanzkrise gekündigten Admins gefährlich werden könnten – das kostenlose Tool »Passwordizer«, das allerdings eine vorherige Registrierung  erwartet, löscht die bei der Anmeldung benutzen User-Credentials. Neugierige mit Admin-Rechten können sie dann nicht mehr sehen.

Microsoft meint, externe Angreifer müssten eben gehindert werden, sich Admin-Rechte zu ergaunern. Außerdem nutze der SQL-Server seit Version 2008 statt SQL-Authentifizierung den »Windows Authentication Mode«, der seine Passwörter anderswo ablege. (Manfred Kohlen)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen