Patches für SQL-Server erhältlich
Im SQL-Server 2000 kann ein Buffer Overrun beim Verschlüsseln von Daten dazu führen, dass ein Angreifer die Kontrolle über die Datenbank oder auch den Server selbst erlangt. Gleiches gilt für einen weiteren Buffer Overrun, der auftreten kann, wenn Daten in eine SQL-Server-Tabelle eingegeben werden. Ferner kann ein Angreifer fehlerhafte Registry-Einträge über die Zugriffsrechte des SQL-Server dazu nutzen, sich selbst andere Rechte zu geben als die, die der Administrator ihm zugeteilt hat.
Der von Microsoft unter anderem in deutscher und englischer Sprache bereitgestellte Patch(öffnet im neuen Fenster) für den SQL-Server 2000 soll all diese Sicherheitslöcher sowie alle vorherigen Lücken beseitigen.
Ein weiteres Sicherheitsleck im SQL-Server 2000 sowie im SQL-Server 7.0 legt bei der Installation des Servers oder eines Service Packs eine Datei mit Kennwörtern an, die bis zum SQL Server 7.0 Service Pack 4 sogar unverschlüsselt abgelegt wurde. Über diese Datei kann ein Angreifer Zugriff auf Kennwörter von Anwendern erlangen und versuchen, diese zu entschlüsseln. Dies gilt allerdings nur, wenn der SQL-Server im Mixed-Mode betrieben wird, so dass eine Anmeldung direkt an der Datenbank erfolgt. Microsoft empfiehlt, diesen Modus nicht zu verwenden, sondern eine Authentifizierung über Windows vorzunehmen.
Microsoft bietet als Patch ein Tool namens " KillPwd.exe Utility(öffnet im neuen Fenster) " für den SQL-Server 7.0 und 2000 an, womit man diese Kennwort-Dateien auf einem SQL-Server löschen kann.