mboost-dp1

unknown

Microsoft program installerer bagdør

- Via Ingeniøren -

Microsoft SQL Server Database Engine (MSDE) opretter under Windows 9X og ME en bruger til databaseadministration uden password. Det er derfor relativt let for crackere/hackere/scriptkiddies at få adgang til computeren.





Gå til bund
Gravatar #1 - C#
29. sep. 2001 18:21
hvem kører helt seriøst sql server (ved godt det kun er MSDE) på win9x/ME
Gravatar #2 - Lovechild
29. sep. 2001 19:46

Det kan du have ret i... men alligevel *SUK*
Gravatar #3 - XjaW
29. sep. 2001 21:52
øhh?

sålænge jeg kan huske har MS SQL 'Server' installeret en bruger, der hed 'sa' uden password, som alle kunne bruge, hvis sysadm var et fjols (eller ikke gad læse dokumenatationen)

Klart, så bør man ændre denne brugers password, eller helt slette brugeren, hvis man ikke vil ha scriptkiddies i sin server.
At tjekke brugere, skulle gerne ske samme tid, som man slår adgang fra alle ipere fra, samt sætter anden sikkerhed op på serveren.
Gravatar #4 - TcaT
29. sep. 2001 22:25
Nu tror jeg nu, at meget få professionelle bruger Win98 til deres database.

Det er nu mange der kører MS SQL, den er blevet kåret som vinder både med performance og udbredelse, for ikke særlig lang tid siden.

Men jeg kan desværre ikke huske linket :-(

Det er vist også andre end MS der har problemer:

<STRONG>Apache mod_auth_pgsql Remote SQL Query Manipulation Vulnerability</STRONG>
'mod_auth_pgsql' is the authentication module required by Apache server to make use of database-based authentication using PostGreSQL. This authentication module for Apache is prone to a vulnerability which will allow SQL queries to be manipulated via a HTTP request. Data that is included in SQL query strings is not adequately sanitized. It may be possible for users to modify the structure of SQL queries by carefully constructing variables containing metacharacters that will be included in the target query. Additionally, extra statements and stored procedures may be called by the attacker. An example attack: Username: '';; select ''bla Password: bla This issue allows the user to access resources that would normally be restricted, which may in turn provide an opportunity for the attacker to exploit other vulnerabilities that exist in the server.
Gravatar #5 - Onde Pik
30. sep. 2001 15:03
Det lyder lidt somom at glitchen i Apache er en del værre end en glitchen(hvis man kan kalde det det)i MS.
Gravatar #6 - bob
1. okt. 2001 07:55
bagdør og bagdør... det er jo ikke ligefrem fordi det er en stor hemmelighed :)
Gravatar #7 - sKIDROw
1. okt. 2001 10:56
Selvfølgelig er der andre end M$ der laver smuttere... ;o)
Apache er dog stadig et godt produkt, med en rimelig lav fejlrate... :o)
Gravatar #8 - Skarr
6. okt. 2001 11:45
virkeligt genialt... NOT
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login