Patches für SQL-Server erhältlich

Microsoft stellt Patches für jüngst entdeckte Sicherheitslücken bereit

Microsoft veröffentlichte zwei Patches für den SQL-Server 2000 sowie einen Patch für den SQL-Server 7.0. Für die 2000er Version des SQL-Servers gibt es einen Sammel-Patch, der alle bisherigen und drei neue Sicherheitslöcher stopfen soll, und noch einen weiteren Patch, der auch für den SQL-Server 7.0 gilt. Alle neuen Sicherheitslücken stuft Microsoft als moderat ein.

Artikel veröffentlicht am ,

Im SQL-Server 2000 kann ein Buffer Overrun beim Verschlüsseln von Daten dazu führen, dass ein Angreifer die Kontrolle über die Datenbank oder auch den Server selbst erlangt. Gleiches gilt für einen weiteren Buffer Overrun, der auftreten kann, wenn Daten in eine SQL-Server-Tabelle eingegeben werden. Ferner kann ein Angreifer fehlerhafte Registry-Einträge über die Zugriffsrechte des SQL-Server dazu nutzen, sich selbst andere Rechte zu geben als die, die der Administrator ihm zugeteilt hat.

Stellenmarkt
  1. lnformatiker*in als IT-Sicherheitsbeauftragte*r / CISO
    Kreis Herzogtum Lauenburg, Ratzeburg
  2. Senior Java Developer / Consultant Finance (w/m/d)
    SMF GmbH, Dortmund
Detailsuche

Der von Microsoft unter anderem in deutscher und englischer Sprache bereitgestellte Patch für den SQL-Server 2000 soll all diese Sicherheitslöcher sowie alle vorherigen Lücken beseitigen.

Ein weiteres Sicherheitsleck im SQL-Server 2000 sowie im SQL-Server 7.0 legt bei der Installation des Servers oder eines Service Packs eine Datei mit Kennwörtern an, die bis zum SQL Server 7.0 Service Pack 4 sogar unverschlüsselt abgelegt wurde. Über diese Datei kann ein Angreifer Zugriff auf Kennwörter von Anwendern erlangen und versuchen, diese zu entschlüsseln. Dies gilt allerdings nur, wenn der SQL-Server im Mixed-Mode betrieben wird, so dass eine Anmeldung direkt an der Datenbank erfolgt. Microsoft empfiehlt, diesen Modus nicht zu verwenden, sondern eine Authentifizierung über Windows vorzunehmen.

Microsoft bietet als Patch ein Tool namens "KillPwd.exe Utility" für den SQL-Server 7.0 und 2000 an, womit man diese Kennwort-Dateien auf einem SQL-Server löschen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
"Macht mich einfach wahnsinnig"
Kelber beklagt digitale Inkompetenz von VW

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat vor einem Jahr ein Elektroauto bei VW bestellt. Und seitdem nichts mehr davon gehört.

Macht mich einfach wahnsinnig: Kelber beklagt digitale Inkompetenz von VW
Artikel
  1. Unikate: Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken
    Unikate
    Deutsche Post verkauft eine Milliarde Matrixcode-Briefmarken

    Die Deutsche Post begann im Februar 2021, Briefmarken mit Matrixcode zu verkaufen. Nun wurden bereits eine Milliarde Stück verkauft.

  2. Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
    Telemetrie
    Voyager 1 weiß wohl nicht, wo sie ist

    Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

  3. Agile Softwareentwicklung: Einfach mal so drauflos programmiert?
    Agile Softwareentwicklung
    Einfach mal so drauflos programmiert?

    Ohne Scrum wäre das nicht passiert, heißt es oft, wenn etwas schiefgeht. Dabei ist es umgekehrt: Ohne agiles Arbeiten geht es nicht mehr. Doch es gibt drei fundamentale Missverständnisse.
    Von Frank Heckel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /