Web

 

Microsoft stopft Löcher im SQL Server

11.07.2002

MÜNCHEN (COMPUTERWOCHE) - Microsoft hat zwei Patches für seine Datenbank "SQL Server" veröffentlicht. Der erste ist für alle Versionen von SQL Server 2000 sowie dessen korrespondierede Desktop Engine (MSDE) gedacht. In diesen Produkten existieren drei neu entdeckte Sicherheitslecks, die unter anderem durch Buffer overrun die Ausführung fremden Codes ermöglichen können. Der veröffentlichte Sammel-Patch behebt gleichzeitig alle zuvor bekannt gewordenen Sicherheitsprobleme. Er ist für die Installation auf Systemen mit Service Pack 2 geeignet.

Sowohl im SQL Server 2000 als auch in der älteren Version 7 samt Data Engine 1.0 (MSDE 1.0) wird bei der Installation des Produkts oder eines Service Packs unter Umständen das Administrator-Passwort in der Datei "setup.iss" gespeichert (je nach Version im Klartext oder schwach verschlüsselt), die nach der Installation nicht gelöscht wird und im System verbleibt. Angreifer können sich über diese Information volle Admin-Rechte für die Datenbank verschaffen. Zur einfachen Entfernung der Datei können Anwender das Utility "KillPwd" verwenden. (tc)