image

Onderzoeker onder vuur na SQL Server exploit

woensdag 24 december 2008, 10:23 door Redactie, 23 reacties

De beveiligingsonderzoeker die twee weken geleden een nieuw lek in Microsoft's SQL Server publiceerde omdat Microsoft zo traag reageerde, krijgt flinke kritiek van andere beveiligers te verduren. Volgens Bernhard Mueller wist Microsoft al in april van de kwetsbaarheid en had het beloofd om in september een patch uit te brengen. Aangezien de update er in december nog steeds niet was, besloot hij tot full-disclosure over te gaan. Het onthullen van de details en exploit aan het publiek.

En dat had hij niet moeten doen, zegt Eric Schultze van Shavlik Technologies. "Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht."

Reacties (23)
24-12-2008, 10:55 door Anoniem
Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht.

Neen, Microsoft heeft de servers en gegevens in gevaar gebracht door in eerste instantie lekke software vrij te geven en vervolgens laks te zijn in het patchen. 8 maanden is gewoon absurd lang. Mijns inziens heeft de onderzoeker veel te lang gewacht met de full disclosure.
24-12-2008, 10:59 door [Account Verwijderd]
[Verwijderd]
24-12-2008, 11:06 door Anoniem
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
Ack!
24-12-2008, 11:21 door Anoniem
Door Anoniem
Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht.

Neen, Microsoft heeft de servers en gegevens in gevaar gebracht door in eerste instantie lekke software vrij te geven en vervolgens laks te zijn in het patchen. 8 maanden is gewoon absurd lang. Mijns inziens heeft de onderzoeker veel te lang gewacht met de full disclosure.

eens

Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.

eens again.

Door Anoniem
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
Ack!

eeeen nog eens EENS!

MS heeft idd 6 tot 8 maand de tijd gehad.

Dat de software in de eerste instantie lek was kan niet elke developer weten natuurlijk.
Dat de beste man over is gegaan op total disclosure kan ik alleen maar mee inleven.

Zo heeft hij misschien wel andere in "gevaar" gebracht, maar zo dwingt hij MS ook af om de patches te releasen.

Vind zowiezo dat MS TE traag is met patchen!

:wq!
24-12-2008, 11:21 door SharkWare
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.

Maar Microsoft is niet de enige die hier afgestraft wordt. Door het "laks gedrag" van een ander zouden jouw (en andermans) gegevens in de handen van de verkeerde persoon terecht kunnen komen.

Dit was echter ook al mogelijk voordat de onderzoeker zijn bevindingen aan de wereld bekend gemaakt had. De kans op misbruik was echter voor de disclosure kleiner dan na de disclosure.

Zo zwart wit als jij het schildert is het dus niet.
24-12-2008, 11:25 door Anoniem
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.

welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame

mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?

Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"

oh nee, die hebben pubers niet.....
24-12-2008, 11:34 door Anoniem
Maar Microsoft is niet de enige die hier afgestraft wordt. Door het "laks gedrag" van een ander zouden jouw (en andermans) gegevens in de handen van de verkeerde persoon terecht kunnen komen.

Gewoon een echt os gebruiken. :P
24-12-2008, 11:41 door Anoniem
Door Anoniem
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.

welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame

mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?

Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"

oh nee, die hebben pubers niet.....

Het belang is dat Microsoft nu wél urgentie gaat zien, omdat de klanten nu weten dat ze 8 maanden lang voor de gek zijn gehouden.
24-12-2008, 12:00 door pikah
Het belang is dat Microsoft nu wél urgentie gaat zien

Dat is wat je ermee bereikt inderdaad. Had echter al veel eerder moeten gebeuren bij Microsoft. Verder vraag ik me toch echt af waarom MSSQL servers rechtstreeks op internet gekoppeld zijn, misschien klopt daar al iets niet....

Als je kijkt naar SQL-injectie, is toch echt de webapplicatie die in eerste instantie niet goed is...
24-12-2008, 12:05 door [Account Verwijderd]
[Verwijderd]
24-12-2008, 12:07 door [Account Verwijderd]
[Verwijderd]
24-12-2008, 12:19 door Anoniem
Paniek peeuw..


In het geval van Microsoft SQL Server 2000 Desktop Engine en SQL Server 2005 Express worden standaard geen verbindingen van buitenaf geaccepteerd. Een geauthenticeerde aanvaller zou de aanval daarom alleen lokaal kunnen uitvoeren.
24-12-2008, 12:23 door prikkebeen
Wel weer toevallig dat hun nieuwste versie niet gevoelig voor dit lek is. Upgraden en betalen dan maar weer naar de laatste versie? Help Microsoft de winter door!!
24-12-2008, 12:33 door Anoniem
Hoezo geen updates? Er staat toch overal dat SP3 niet kwetsbaar is...

Even downloaden, installeren en opgelost.

Wat een gezeur zeg!
24-12-2008, 12:41 door spatieman
heb je een duur betaald 24 uurs service contract, mag je nog 6 weken wachten voor je geholpen wordt.
als dom voobeeld genoemd.
24-12-2008, 12:53 door Anoniem
Door Anoniem
Maar Microsoft is niet de enige die hier afgestraft wordt. Door het "laks gedrag" van een ander zouden jouw (en andermans) gegevens in de handen van de verkeerde persoon terecht kunnen komen.

Gewoon een echt os gebruiken. :P


En als jij met je "niet-microsoft" OS een aankoop doet op internet controleer je eerst of de webserver wel op een veilig OS draait? Volgens mij heb jij het probleem niet helemaal begrepen. Het gaat hier om het de software op de server, niet de software die je zelf gebruikt.
24-12-2008, 12:59 door prikkebeen
Door AnoniemHoezo geen updates? Er staat toch overal dat SP3 niet kwetsbaar is...

Even downloaden, installeren en opgelost.

Wat een gezeur zeg!

Lek: SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2000 Desktop Engine (WMSDE) and Windows Internal Database (WYukon) can be exploited and hijacked by hackers.

Niet lek: Newer versions of the popular software, which is used by many Web sites to power back-end databases, are immune from attack, however. Those versions include SQL Server 7.0 Service Pack 4 (SP4), SQL Server 2005 SP3 and SQL Server 2008. That last version, the newest in the line, was released to manufacturing just last August.

Het is maar net welke versie je gebruikt dus. Maar goed, ik zal wel zeuren.
24-12-2008, 13:48 door Eerde
En dat had hij niet moeten doen, zegt Eric Schultze van Shavlik Technologies. "Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht."
Sterker nog ik vind dat deze man rijkelijk bellont moet worden door M$ die haar belofte niet is nagekomen, na 6 maanden moet er automatisch $ 100,000.00 betaald worden, na 3 maanden bv 50,000,000.00 dat zou als het om een bewezen lek gaat van een bepaalde categorie de norm moeten zijn bij luizig gedrag.
Het is M$ die mensen in gevaar heeft gebracht, niet de boodschapper.
24-12-2008, 14:21 door Joren
Ik zie niet zo goed wat het probleem is van deze disclosure. Zoals anoniem hierboven ook al aangeeft is het lek 2 maanden geleden gedicht met het uitkomen van de Service Packs. Het probleem ligt dus niet zozeer meer bij MS, maar meer bij de beheerders die deze SPs nog niet geïnstalleerd hebben.
24-12-2008, 16:43 door Anoniem
Door JorenIk zie niet zo goed wat het probleem is van deze disclosure. Zoals anoniem hierboven ook al aangeeft is het lek 2 maanden geleden gedicht met het uitkomen van de Service Packs. Het probleem ligt dus niet zozeer meer bij MS, maar meer bij de beheerders die deze SPs nog niet geïnstalleerd hebben.

Als MickeySoft het bekend had gemaakt dan had je gelijk... maar dat hebben ze niet waardoor ze hun plicht hebben verzuimd.
24-12-2008, 17:43 door ddegroot
Door Anoniem
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.

welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame

mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?

Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"

oh nee, die hebben pubers niet.....

Beetje rare offtopic reactie heb je...

Maar ik kan me voorstellen als SQL beheerder je hiervan graag op de hoogte van wordt gebracht en eventueel zelf maatregelen kunt nemen (zoals de workaround van SEC, of upgraden). Deze beveiligingsonderzoeker zal vast niet de enige zijn geweest die de exploit kent. En zo spannend zal de exploit niet zijn, anders had MS toch wel sneller een patch uitgebracht?
24-12-2008, 20:14 door Anoniem
Stelletje huilebalken, dit is een prikkel die laks gedrag afstraft en daarmee een drang tot beter gedrag creeert een corrigerende tik, niks meer niks minder. Dan hadden die falers bij micro$ucks het in eerste instantie maar beter moeten aanpakken.
28-12-2008, 23:21 door Anoniem
FAIL
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.