Microsoft nedprioriterer SQL-sårbarhed

Artiklen blev oprindeligt publiceret den 3/9/2009

Sikkerhedsfirmaet Sentrigo har fundet en sårbarhed i SQL Server, der kan give insidere adgang til passwords. Microsoft regner det for et mindre problem og vil ikke udsende en fejlrettelse.

Sårbarheden giver enhver bruger med privilegier som systemadministrator adgang til at se ukrypterede passwords i databasen. Det kan være passwords fra andre brugere eller fra applikationer, der kalder databasen.

Sentrigo har fundet sårbarheden ved at kigge i den del af arbejdslageret, som SQL Server anvender. Her viste det sig, at passwords ligger frit tilgængelige.

Firmaet orienterede Microsoft om sårbarheden for et år siden. Men Microsoft vurderer, at den ikke er alvorlig, da den kun kan udnyttes af folk, som har systemadministratorprivilegier.

Sentrigo har udsendt et gratis program, som man kan bruge til at sikre, at passwords ikke kan opsnappes på den måde.

Sårbarheden findes kun, hvis man kører mixed authentication (også kendt som SQL Server and Windows Authentication Mode). Den findes i SQL Server 2000, 2005 og 2008.

Links

• Pressemeddelelse fra Sentrigo
• Værktøjet Passwordizer, der beskytter mod sårbarheden
• Blogindlæg fra Adrian Lane, Securosis