Microsoft bestreitet Leck in SQL Server 7.0
Microsoft bestreitet Leck in SQL Server 7.0
24. August 2000 -
Die Sicherheitslücke in SQL Server entpuppt sich als Default-Passwort, das von den Administratoren nicht geändert wird.
Wie in den vergangenen Tagen verschiedentlich zu lesen war, soll in Microsofts SQL Server 7.0 ein Sicherheitsloch klaffen. Die Meldungen beziehen sich auf einen Login-Vorgang, der ungebetenen Gästen Tür und Tor zur Datenbank öffnen kann. Microsoft wirft den vom Leck betroffenen Administratoren vor, das Manual nicht gründlich studiert zu haben. Bei der Installation wird ein Default- Login eingerichtet, der nicht durch ein Passwort gesichert ist. In den entsprechenden Handbüchern werde gemäss Microsoft aber darauf hingewiesen, dass dieser Login darauf mit einem sicheren Passwort geschützt werden solle. Betroffen sind auch Applikationen, die die abgespeckte SQL-Version Microsoft Data Engine (MDE) integriert haben. Neben Access 2000 gehören auch Visio 2000 und Visual Studio 6.0 zu dieser Gruppe.
Da es sich gemäss Microsoft nicht um ein eigentliches Sicherheitsleck handelt, wird auch kein Patch zur Verfügung gestellt. Bei SQL Server 2000 soll das Problem aber aus der Welt geschafft sein. Die Administratoren werden dann gleich beim Installationsvorgang aufgefordert, ein Passwort zu definieren.
Da es sich gemäss Microsoft nicht um ein eigentliches Sicherheitsleck handelt, wird auch kein Patch zur Verfügung gestellt. Bei SQL Server 2000 soll das Problem aber aus der Welt geschafft sein. Die Administratoren werden dann gleich beim Installationsvorgang aufgefordert, ein Passwort zu definieren.