Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Bron: Internetweek, submitter: pven

Microsoft komt met drie tools die speciaal ontwikkeld zijn om de gebruikers van SQL Server 2000 te ondersteunen in hun zoektocht naar gevaarlijke bugs. Na de razendsnelle uitbraak van de SQLSlammer worm op 25 januari van dit jaar zal er voor goede bescherming naar betere alternatieven voor het patchen gezocht moeten worden. In de week voor 25 januari waren zo veel patches voorhanden dat een beheerder niet wist welke wel en niet belangrijk waren, aldus Bruce Schneier van Counterpane Internet Security. De nu beschikbaar gestelde drie tools zullen bij dit soort problemen moeten helpen. De SQL Server 2000 SQL Scan Tool (SQL Scan) zal een IP-range of het domein scannen op vatbaarheid voor de Slammer worm, SQL Check onderzoekt het systeem waarop het is geïnstalleerd en SQL Critical updates zal de pc waarop het draait scannen en automatisch updaten:

Microsoft logoSQL Server 2000 SQL Scan Tool (SQL Scan), which scans an individual computer, Windows domain, or range of IP addresses for instances of SQL Server 2000 and MSDE 2000 and identifies instances that may be vulnerable to the Slammer worm. SQL Scan runs on computers running Windows 2000 or higher, and can identify instances running on Windows NT 4.0, Windows 2000 and Windows XP.

SQL Check scans the computer on which it is running for instances of SQL Server 2000 and MSDE 2000 that are vulnerable to the Slammer worm. SQL Check runs on computers running Windows 98, Windows ME, Windows NT 4.0, Windows 2000 and Windows XP. On computers running Windows NT 4.0, Windows 2000 and Windows XP it stops and disables the SQL Server and SQL Agent services. On computers running Windows 98 and Windows ME it identifies vulnerable instances but does not stop or disable any services.

SQL Critical Update scans the computer on which it is running for instances of SQL Server 2000 and MSDE 2000 that are vulnerable to the Slammer worm, automatically updating the affected files. SQL Critical Update runs on computers running Windows NT 4.0 or higher. SQL Critical Update will not run on Windows 95, Windows 98 or Windows ME.
Moderatie-faq Wijzig weergave

Reacties (33)

Dat default SA wachtwoord vraagt ie alleen bij de installatie van SP3 hoor.

Ik weet niet wat voor SQL 2000 cd's jij hebt maar niet de officiele die ik hier heb liggen :)

Dat een SQL Server rechtstreeks aan het internet is gekoppeld maakt wel uit, maar niet als de ROUTER goed geconfigureerd is. En daarmee bedoel ik de manier waarop dit wormvirus zichzelf verspreid: poortje 1434 (UDP) ;)

Wat jij zegt makes no sense to me mits je SP3 hebt geinstalleerd en je niet alle poorten mapped op je router.

En ja, ik ben zo'n beheerder die alles dichtpatched :+
Nessus bijvoorbeeld, doet het al tijden......

En een beetje gezond verstand zou al genoeg moeten zijn, maar dat leer je niet bij je MS opleidingen...De nadruk ligt daar meer op het gebruiken van zoveel mogelijk MS produkten....( sorry voor trolly achtige opmerking, maar gezond verstand is vaak ver te zoeken, evenals diepgaande kennis van het systeem onder de grafische schermen)...

Dit initiatief is volgens mij alleen opgestart vanwege de grote gevolgen die het heeft gehad, terwijl de open gaten al lange tijd bekend waren..... MS zou toch wat sneller met dit soort oplossingen moeten komen...
Waarom ze dit nu pas uitbrengen... Zoiets zou, zeker voor iets belangrijks als een database server, al meteen bijgeleverd moeten worden. Meeste echte SQL servers zijn Mission Critical, die kan je niet veroorloven om `een beetje te patchen!`!

Als de computer gecrasht is fixt men de bug...
Er is al zo'n soort tooltje, deze checked niet alleen voor MS SQL maar ook voor de rest. Dit tooltje checked alleen MS SQL. En als ik het goed begrijp werkt dit alleen maar tegen de Slammer worm, en niet voor andere patches?
Microsoft Baseline Security Analyzer
Scant een computer of een range, of een domein welke patches zijn uitgevoerd. En ja, voor zover ik weet zou dat ook de SQL patches moeten vinden.
Tooltje werkt erg goed trouwens moet ik zeggen.
De meeste updates komen ook ruim op tijd, het is dan nog steeds de taak van de admin om deze updates toe te passen.
en ... er moet eerst een bug zijn voor ze iets kunnen oplossen hé ;)
en ... er moet eerst een bug zijn voor ze iets kunnen oplossen hé
Je zou het als producent ook eerst degelijk kunnen testen met als standaard onderdeel daarvan code reviews en de monkey test (random functies en netwerk activiteot erop los laten).

Rustig gaan zitten wachten tot een klant een probeem aanmeld is economisch gezien voor de producent mischien wel makkelijk maar de gebruikers hebben er de problemen van.

Dit soort activiteiten wordt wel testen in productie genoemd. Heel goedkoop voor de software ontwikkelaar maar erg duur voor de gebruiker.

Gebruikers zouden meer in staat gesteld moeten worden om een claim neer te leggen bij de producent als er productiviteits verstoringen zijn door onvolkemendheden in de code.

En ga nou niet zeggen dat alle code fouten bevat, ja dat is waar er zitten fouten in maar door een goed ontwerp, zorgvuldig coderen en testen, testen testen testen is er wel degelijk een goed product neer te zetten. B-)
SQL is dus ook een goed product! En er worden fouten gevonden, zowel door MS als door klanten/gebruikers nadat het product is uitgebracht. Er worden ook al service packs en patches uitgebracht voor het product. En dat het 'lastig' is om een patch te installeren klopt. Maar dat mag natuurlijk niet de oorzaak zijn dat het dan maar niet gebeurt.
Maar BillGaetes hierboven doet alsof er helemaal niet getest wordt voordat een product van MS de deur uitgaat. Ga maar eens kijken in redmond zou ik zeggen. Er zitten meer testers per ontwikkelaar dan ik ooit bij een bedrijf ben tegengekomen. (mag je blij zijn als er al een tester in het team zit)
Sorry hoor maar al die reacties van O dit komt te laat en dit hadden ze eerder moeten doen zijn toch te gek voor woorden. De patches zelf waren er al eeuwen en je mag er toch wel vanuit gaan dat de mensen die MS-Sql server beheren weten wat ze doen en dit bijhouden enzo.. Maarja er zijn kennelijk genoeg mensen op de wereld die zo'n ding onder hun beheer hebben en A het illegaal thuis draaien dus niet weten waar ze mee bezig zijn of B meteen ontslagen moeten worden. Voor hen is dit tooltje uitgebracht, het is weer triest..

[add]
Voor ierdereen die wel goed bezig is is dit natuurlijk een leuk hulpje :)
je mag er ook vanuit gaan dat MS hun eigen servers had gepatched.. alleen was dit niet zo?
dan is er toch duidelijk iets mis met die patch of niet?
niks mis met de patch, daar is niks aan verandert en die word nu gebruikt om het op te lossen. er werkt kennelijk iemand die onder puntje B valt dus ;)
Yeay right, Mysql....... lekker default draaien zonder admin password.

Wel lopen zeiken dat MS zo slecht is maar SQL 2000 vraagt tenminste tijdens de installatie op een sa password en raad af er geen te gebruiken.
Zowel Mysql als Postgres werken standaard zonder en geven er niet eens een waarschuwing voor.
En ga nou niet ineens roepen dat dat door een goed systeembeheerder opgepakt moet worden want die zijn er net zo min als onder Windows.
Hoeveel liensux installaties ik al niet ben tegengekomen met postgres/mysql zonder admin password dat wil je niet weten.
Net zo schandalig als een MS SQL installatie zonder sa password.
En welke malloot gaat in godsnaam een backend app als een SQL DB rechtstreeks aan het internet koppelen? Als dat bij ons voorkomt is het te hopen dat je goed bent in het schrijven van CV's want dat zul je nodig hebben.

Kortom conclussie, wat je ook als OS of DB gebruikt, een slechte beheerder richt meer schade aan dan de software zelf.
Vanaf de RTM versie van MS SQL 2k zit de mededeling dat er geen blank password gebruikt moet worden er al in hoor. Blijkbaar heb je de eerder doorgeklikt en NT authenticatie only gebruikt ( next > next > ok principe) maar het zit er wel degelijk in hoor.

Wij gebruiken, nog geen SP3, dus die functionaliteit is daarin niet extra toegevoegd. wel dat de Cross Database Ownership nu default uitgezet word (eindelijk !!) en dat de SQL Agent user geen admin user hoeft te zijn (hehehe, MS begint het te leren).

Ik, wij, beschikken uiteraard over de reguliere MS cd´s voor zowel de standaard als de Enterprise versies.
BTW, poortje 1434 UDP hoort inderdaad niet van buitenaf open te staan. Eigenlijk ook niet zonder ACL voor binnen het netwerk.
Tussen het frontend en het backend draaien wij standaard een Firewall en zowiezo staat alles achter een local director, met daarachter een Firewall voor het Frontend natuurlijk.
Ik denk dat wegens kosten en tijd overwegingen een hoog percentage van de klanten toch niet patcht. Enenals Microsoft zelf.
Dit is allemaal leuk en aardig,
maar hoe zit het met Ms SQL7.0 ???

Het zou toch handig zijn als de tool ook bij deze versie werkt.

En de Slammer worm??
Daar hebben ze het ook telkens maar alleen over SQL2000.
Ik krijg een beetje het idee dat men 7.0 al weer vergeten is bij mikkisoft.
Even voor de duidelijkheid over het SA wachtwoord:

Bij de installatie van SQL 2000 als je standaard kiest voor Windows Authentication (en dat is bij mij 99% van alle installaties), dan klik je dus voorbij het SA account. Je kan bij de installatie niet het SA wachtwoord invullen + Windows Authentication kiezen. Het is een of/of optie.

Het SA login account is dus na de installatie actief zonder wachtwoord.

Bij de installatie van SP3 kijkt de installer dit na en zonodig vraagt hij om een wachtwoord. Daarmee bedoel ik: pop-up scherm met duidelijk de waarschuwing en de aanbeveling om deze in te vullen.

70% van de SQL Servers die ik tegen kom zonder SP3 (vooral Exact E-Synergy servers) gebruiken nog SP2 vanwege support op het pakket vanuit Exact en andere zaken.

Je kan eventueel zelf het SA wachtwoord wijzigen met de Enterprise Manager, SQL Server Group, (servernaam / local), Security, Logins --> rechtermuisknop SA --> properties.
SQL Patch Kit??? Beetje misleidende titel... het is een patch voor SQL server en dat is toch heel iets anders als een patch voor de taal SQL. Just my 2 cents.
Je hebt inderdaad een punt. Maar Microsoft heeft zelf weinig te maken met SQL op zich. Echter hun SQL server staat wel vol in het licht. Het duurde vast niet lang totdat jij daaraan dacht (patch voor hun server)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True