* Microsoft nun doch Jahr 2000-sicher *
Berichtigt pte 980713002 "Microsoft warnt vor eigenen Bugs"
München (pte) (pte005/19.07.1998/08:00) Kürzlich haben wir im pte-Beitrag "Microsoft warnt vor eigenen Bugs" (pte980713002) über den in einigen Microsoft-Produkten auftretende Jahr 2000-Bug berichtet. Die bisher verläßliche Quelle "Infoworld" hat den Bericht inzwischen korrigiert und wir zitieren: "Das Schaltjahrproblem im Microsoft-SQL-Server wurde mit dem Service Pack 2 - Version 6.5 behoben." Das beschriebene Problem, daß Excel z.B. ab dem Jahr 2030 auf das Jahr 1930 "umschaltet", ist kein Bug, sondern das Datums-System "Date Windowing", das das eingegebene Datum interpretiert. Gibt man z.B. "30" ein wird dies als "Geburtsdatum" 1930 interpretiert. Bei der Eingabe "29" geht Excel von einem "Plandatum" 2029 aus. Microsoft informiert über das Jahr 2000-Problem: http://www.eu.microsoft.com/year2000/
* Weitere Sicherheitslücke bei NT-Servern *
Unberechtigter Fernzugriff via Komponente RDS möglich
Microsoft warnt unterdessen, daß durch eine Sicherheitslücke in Datenzugriffskomponenten seiner Web-Server- und Entwicklungs-Tools unberechtigte Zugriffe auf Windows-NT-Server möglich sind, die schlimmstenfalls bis zum völligen Lahmlegen der Server reichen. Die Lücke soll ein MS-Forschungsteam selbst entdeckt und zuerst am 22. April dokumentiert haben. Jetzt erweiterte Microsoft seine Warnung und informierte größere Unternehmen, die die Software benutzen. Dennoch spielte Karan Khanna, NT-Produktmanager für Sicherheitsfragen, die Bedeutung des Sicherheitslochs herunter und erklärte, bisher seien keine Hacker-Attacken bekannt geworden, die diese Lücke genutzt hätten. "Ein Client muß die SQL- und die Web-Adresse sowie Paßwörter kennen. Wenn man eine guteSicherheitspolitik betreibt, ist man ziemlich immun gegen Angriffe", stellte Khanna fest.
Möglich wird ein unberechtigter Zugriff über die Komponente Remote Data Service (RDS), die bei der Installation des Internet Information Server 4.0 (IIS) auf einem NT-Rechner durch dasWindows NT Option Pack automatisch installiert wird. RDS erlaubt kontrollierte Internet-Zugriffe auf Daten anderer Rechner, die via HTTP an den Client zurückgesendet werden. Solche Abfragen relationaler SQL-Datenbanken sind durch ein Paßwort geschützt, doch wenn Firmen leere oder einfach zu erratende Paßwörter für ihre SQL-Administrator-Accounts verwenden, ist der Zugriff für Kenner kein Problem, schreibt Microsoft. Bei bestimmten Software-Konstellationen eröffnet das RDS-Datafactory-Objekt auch die Möglichkeit, auf nichtveröffentlichte Dateien auf dem IIS-Server zuzugreifen.
Das Risiko eines Einbruchs sei noch größer, wenn neuere OLE-Datenbank-Provider-Software installiert sei, denn über sie könnten Shell-Kommandos ausgeführt werden. Hacker könnten beispielsweise Befehlszeilen eingeben, die den Rechner lahmlegen.Vom Sicherheitsproblem betroffene Software-Pakete sind der Internet Information Server 4.0 sowie die Remote Data Services 1.5 und Visual Studio 6.0.
Microsoft empfiehlt Firmen, die RDS-Funktion auszuschalten, falls sie nicht wirklich gebraucht wird. Die nötigen Schritte beschreibt der Software-Konzern in einem Sicherheits-Bulletin http://www.microsoft.com/security/bulletins/ms98-004.htm Reparatur-Patches will Microsoft nicht zur Verfügung stellen. Der NT-Produktmanager Karan Khanna sagte, das Problem betreffeweniger die Komponenten selbst als vielmehr die Server-Konfiguration und die Kombination der Komponenten. (ZDNet)
(Ende)| Aussender: | pressetext.austria |
| Ansprechpartner: | ws |
| Tel.: | 01/402 48 51 |
| E-Mail: | redaktion@pressetext.at |
| Website: | pressetext.at |
