Re: RTFM! - Schwachstelle durch festes Passwort in O…

>
> > Es gibt beim MS SQL-Server kein Konto “sa”, das mit einem
> > Nullpasswort existiert, ohne dass des User das will und 1. bei der
> > Installation EXPLIZIT und 2. gegen eine ausdrückliche WARNUNG so
> > konfiguriert.
>
> Gilt nicht für alle SQL-Server:
> http://www.securityspace.com/de/smysecure/catid.html?id=10673
>
> Ist zwar schon eine Weile her, war aber eine Einfallsmöglichkeit für
> einige Würmer.
Sag mal, hast du mein Post gelesen und verstanden? Sicher gibt es
Leute, die ihren SQL-Server mit “sa” und einem Nullpasswort
konfigurieren, allerdings ist das eindeutig ein Anwenderfehler. Man
muss bei der Installation EXPLIZIT das Nullpasswort auswählen und
einen SICHERHEITSWARNUNGN wegklicken.
Nur weil es die Möglichkeit gibt, z.B. bei Entwicklungsrechnern sehr
angenehm, ist es noch lange keine STANDARDEINSTELLUNG die AUTOMATISCH
und ohne Nuterinteraktion bei der Installation angelegt werden kann.
OX -> Standard-Account wird ohne Nutzerinteraktion angelegt
SQL -> “sa” mit Nullpasswort wird nur durch explitize
Nutzerinteraktion angelegt.
Unterschied erkannt?

September 23rd, 2008 - Posted in Allgemein | |

Leave a reply

You must be logged in to post a comment.