Sicherheitsloch bei Microsoft SQL Server 7.0

Leeres Passwortkonto öffnet Hintertür zu allen Dateien

Redmont (pte013/23.08.2000/12:09)

Nach einem Bericht des Internet-Dienstes Slashdot http://slashdot.org wurde der Microsoft SQL Server in der Version 7.0 mit einem Sicherheitsloch ausgeliefert. http://slashdot.org/article.pl?sid=00/08/21/0759251&mode=nocomment Die Serversoftware legt automatisch ein Passwortkonto für den Administrator mit leeren Kennwort an. Wird vom Administrator kein eigenes Passwort eingesetzt, steht Eindringlingen das System vollkommen offen.

Laut Slashdot erhalten Angreifer damit nicht nur uneingeschränkten Zugang auf den Inhalt der Datenbank, sondern sie können auch eigene Codes zur Ausführung bringen. Um das Loch zu schließen, soll der Administrator nach der Installation unbedingt das Kennwort ändern. Das Sicherheitsloch ist erst jetzt bekannt geworden, obwohl Hacker schon länger darüber Bescheid wissen dürften. So zitiert Slashdot einen Hacker, der in Anspruch nimmt, im vergangenen Monat mehrere Server mit dieser Methode geknackt zu haben.

Microsoft widerspricht den Darstellungen von Slashdot. Nach Ansicht von Microsoft benutzen Angreifer, die über ein angelegtes Administratorenkonto eindringen, den normalen Authentifizierungsprozess des SQL-Servers. Der Neue Server SQL-2000 ist von diesem Sicherheitsloch nicht betroffen. (Ende)