|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
Von Anonymer Feigling am Thursday 15. March, 15:21 MET (#1)
|
|
|
|
|
Jaja, OT, aber das musste einfach sein - besonders nach dem letzten Satz im zweiten gelinkten Artikel...:-)
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 15. March, 15:38 MET (#2)
|
|
|
|
|
Fairerweise sollte man sagen, dass das kein Bug im MS SQL-Server ist sondern einfach nur ein Versaeunis des Installationsprogramms, auf das ein Administrator aufmerksam gemacht werden muesste.
Der Workaround ist simpel: Dem sa account ein Password verpassen.
Insbesondere, weil es so simpel ist (und natuerlich schon vor Monaten ueber Bugtraq lief), finde ich es ziemlich peinlich, dass es immernoch SQL-Server im Internet gibt, die auf diese Art verwundbar sind. Das ist so, als ob man seine Haustuer nicht abschliesst und sich dann wundert, dass jemand hereinkommt.
Ach ja: Der MS SQL-Server hat den Password-losen sa Account schon seit es ihn gibt, also seit inzwischen ueber 6 Jahren. Lediglich seine Verwendung auf Webservern hat das Problem jetzt publik gemacht.
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 15. March, 16:07 MET (#3)
|
|
|
|
|
Ich persönlich halte das Ausliefern eines Produktes mit einem dermaßen gravierenden Sicherheitsloch für die Mutter aller Bugs! :-)
Wenn der sa-Account schon ohne Passwort ausgeliefert wird, dann sollte die Eingabe eines Passworts wärend der Installation verpflichtend sein - oder zumindest ein Popup, dass auf diese Sicherheitslücke hinweist.
BTW war das "wiz"-Kommando in früheren Sendmail-Versionen auch ein Feature oder doch ein Bug?
|
|
|
|
|
|
|
