Zwei neue Patches für Microsofts SQL Server
Microsoft stellt zwei Sicherheits-Updates für seine Datenbank SQL Server bereit, mit der insgesamt vier in letzter Zeit aufgetauchte Sicherheitslöcher geschlossen werden sollen.
Seit gestern gibt es von Microsoft zwei neue Security Bulletins, die sich mit insgesamt vier in letzter Zeit aufgetauchten Sicherheitslöchern in der Datenbank SQL Server beschäftigen. Für beide steht ein Fix zum Download zur Verfügung, mit dem Administratoren die Lücken schließen können.
Die erste Meldung betrifft den SQL Server 2000 mit sowie die aktuelle Desktop-Version MSDE 2000, jeweils mit Service Pack 2. Der dazugehörige Sammel-Patch behebt alle bisher bekannt gewordenen Sicherheitsmängel in diesen Datenbanken und stopft darüber hinaus drei neue, als mäßig gefährlich eingestufte Löcher: Zwei Fehler beruhen auf möglichen Pufferüberläufen und könnten einem potenziellen Angreifer erlauben, eigenen Code in die Datenbank einzuschleusen. Beim dritten Fehler ermöglichen falsch gesetzte Rechte in der Windows-Registry einem Hacker, den SQL Server unter einem anderen Konto laufen zu lassen als der Administrator dafür vorgesehen hat. In einem zweiten Anlauf könnte er dann Code in die Datenbank einschleusen, der beispielsweise im Kontext des lokalen Systems liefe und damit unbeschränkten Zugriff auf sämtliche Ressourcen hätte.
Im zweiten Bulletin beschreibt Microsoft, dass eine unbeaufsichtigte Installation des SQL Servers in den Versionen 2000 oder 7.0 temporäre und Log-Dateien auf dem Rechner hinterlässt, in denen möglicherweise das während des Setup verwendete Administratorkennwort zu lesen ist. Ein zum Download angebotenes Utility entfernt das Kennwort aus diesen Dateien. Alternativ empfiehlt Microsoft, das Passwort nach der Installation zu ändern, die Dateien zu löschen oder sie in ein Verzeichnis zu verschieben, das nur der Systemadministrator lesen kann. (hos)
