Microsoft komt met SQL Server Patch Kit

Microsoft komt met drie tools die speciaal ontwikkeld zijn om de gebruikers van SQL Server 2000 te ondersteunen in hun zoektocht naar gevaarlijke bugs. Na de razendsnelle uitbraak van de SQLSlammer worm op 25 januari van dit jaar zal er voor goede bescherming naar betere alternatieven voor het patchen gezocht moeten worden. In de week voor 25 januari waren zo veel patches voorhanden dat een beheerder niet wist welke wel en niet belangrijk waren, aldus Bruce Schneier van Counterpane Internet Security. De nu beschikbaar gestelde drie tools zullen bij dit soort problemen moeten helpen. De SQL Server 2000 SQL Scan Tool (SQL Scan) zal een IP-range of het domein scannen op vatbaarheid voor de Slammer worm, SQL Check onderzoekt het systeem waarop het is geïnstalleerd en SQL Critical updates zal de pc waarop het draait scannen en automatisch updaten:

Microsoft logoSQL Server 2000 SQL Scan Tool (SQL Scan), which scans an individual computer, Windows domain, or range of IP addresses for instances of SQL Server 2000 and MSDE 2000 and identifies instances that may be vulnerable to the Slammer worm. SQL Scan runs on computers running Windows 2000 or higher, and can identify instances running on Windows NT 4.0, Windows 2000 and Windows XP.

SQL Check scans the computer on which it is running for instances of SQL Server 2000 and MSDE 2000 that are vulnerable to the Slammer worm. SQL Check runs on computers running Windows 98, Windows ME, Windows NT 4.0, Windows 2000 and Windows XP. On computers running Windows NT 4.0, Windows 2000 and Windows XP it stops and disables the SQL Server and SQL Agent services. On computers running Windows 98 and Windows ME it identifies vulnerable instances but does not stop or disable any services.

SQL Critical Update scans the computer on which it is running for instances of SQL Server 2000 and MSDE 2000 that are vulnerable to the Slammer worm, automatically updating the affected files. SQL Critical Update runs on computers running Windows NT 4.0 or higher. SQL Critical Update will not run on Windows 95, Windows 98 or Windows ME.

Door Gabi Gaasenbeek

Feedback • 09-02-2003 11:54
33 • submitter: pven

09-02-2003 • 11:54

33

Submitter: pven

Bron: Internetweek

Lees meer

SP4 voor MSSQL Server 2000 brengt x64-ondersteuning
SP4 voor MSSQL Server 2000 brengt x64-ondersteuning Nieuws van 14 mei 2005
Microsoft werkt aan nieuwe generatie patchmanagement
Microsoft werkt aan nieuwe generatie patchmanagement Nieuws van 3 juli 2003
Ontwerp Windows NT4.0 te beperkt om veilig te krijgen
Ontwerp Windows NT4.0 te beperkt om veilig te krijgen Nieuws van 28 maart 2003
Lek ontdekt in helpfunctie Windows Me
Lek ontdekt in helpfunctie Windows Me Nieuws van 27 februari 2003
Symantec hield informatie over Slammer achter
Symantec hield informatie over Slammer achter Nieuws van 15 februari 2003
Critical patch voor IE kan toegang tot websites blokkeren
Critical patch voor IE kan toegang tot websites blokkeren Nieuws van 14 februari 2003
SQLSlammer is de snelst verspreide worm ooit
SQLSlammer is de snelst verspreide worm ooit Nieuws van 6 februari 2003
Experts zijn negatief over Microsofts beveiligingen
Experts zijn negatief over Microsofts beveiligingen Nieuws van 3 februari 2003
Slammer-worm wellicht oorspronkelijk uit Nederland
Slammer-worm wellicht oorspronkelijk uit Nederland Nieuws van 28 januari 2003
Andere MS-software ook kwetsbaar voor wormaanvallen
Andere MS-software ook kwetsbaar voor wormaanvallen Nieuws van 27 januari 2003
Scans naar lek in Microsoft SQL Server vertragen internet
Scans naar lek in Microsoft SQL Server vertragen internet Nieuws van 25 januari 2003
Meer producten en artikelen
Software

Reacties (33)

-Moderatie-faq
33
30
20
2
0
0
Wijzig sortering
Verwijderd 9 februari 2003 14:15
Dat default SA wachtwoord vraagt ie alleen bij de installatie van SP3 hoor.

Ik weet niet wat voor SQL 2000 cd's jij hebt maar niet de officiele die ik hier heb liggen :)

Dat een SQL Server rechtstreeks aan het internet is gekoppeld maakt wel uit, maar niet als de ROUTER goed geconfigureerd is. En daarmee bedoel ik de manier waarop dit wormvirus zichzelf verspreid: poortje 1434 (UDP) ;)

Wat jij zegt makes no sense to me mits je SP3 hebt geinstalleerd en je niet alle poorten mapped op je router.

En ja, ik ben zo'n beheerder die alles dichtpatched :+
TheAnimaL 10 februari 2003 01:20
Nessus bijvoorbeeld, doet het al tijden......

En een beetje gezond verstand zou al genoeg moeten zijn, maar dat leer je niet bij je MS opleidingen...De nadruk ligt daar meer op het gebruiken van zoveel mogelijk MS produkten....( sorry voor trolly achtige opmerking, maar gezond verstand is vaak ver te zoeken, evenals diepgaande kennis van het systeem onder de grafische schermen)...

Dit initiatief is volgens mij alleen opgestart vanwege de grote gevolgen die het heeft gehad, terwijl de open gaten al lange tijd bekend waren..... MS zou toch wat sneller met dit soort oplossingen moeten komen...
Cipri 9 februari 2003 11:57
Waarom ze dit nu pas uitbrengen... Zoiets zou, zeker voor iets belangrijks als een database server, al meteen bijgeleverd moeten worden. Meeste echte SQL servers zijn Mission Critical, die kan je niet veroorloven om `een beetje te patchen!`!

Als de computer gecrasht is fixt men de bug...
^Mo^ @Cipri9 februari 2003 12:02
Er is al zo'n soort tooltje, deze checked niet alleen voor MS SQL maar ook voor de rest. Dit tooltje checked alleen MS SQL. En als ik het goed begrijp werkt dit alleen maar tegen de Slammer worm, en niet voor andere patches?
jesternl @^Mo^10 februari 2003 14:43
Microsoft Baseline Security Analyzer
Scant een computer of een range, of een domein welke patches zijn uitgevoerd. En ja, voor zover ik weet zou dat ook de SQL patches moeten vinden.
Tooltje werkt erg goed trouwens moet ik zeggen.
FireFly @Cipri9 februari 2003 13:19
De meeste updates komen ook ruim op tijd, het is dan nog steeds de taak van de admin om deze updates toe te passen.
en ... er moet eerst een bug zijn voor ze iets kunnen oplossen hé ;)
Verwijderd @FireFly9 februari 2003 17:28
en ... er moet eerst een bug zijn voor ze iets kunnen oplossen hé
Je zou het als producent ook eerst degelijk kunnen testen met als standaard onderdeel daarvan code reviews en de monkey test (random functies en netwerk activiteot erop los laten).

Rustig gaan zitten wachten tot een klant een probeem aanmeld is economisch gezien voor de producent mischien wel makkelijk maar de gebruikers hebben er de problemen van.

Dit soort activiteiten wordt wel testen in productie genoemd. Heel goedkoop voor de software ontwikkelaar maar erg duur voor de gebruiker.

Gebruikers zouden meer in staat gesteld moeten worden om een claim neer te leggen bij de producent als er productiviteits verstoringen zijn door onvolkemendheden in de code.

En ga nou niet zeggen dat alle code fouten bevat, ja dat is waar er zitten fouten in maar door een goed ontwerp, zorgvuldig coderen en testen, testen testen testen is er wel degelijk een goed product neer te zetten. B-)
Matthijs Hoekstra @Verwijderd9 februari 2003 17:37
SQL is dus ook een goed product! En er worden fouten gevonden, zowel door MS als door klanten/gebruikers nadat het product is uitgebracht. Er worden ook al service packs en patches uitgebracht voor het product. En dat het 'lastig' is om een patch te installeren klopt. Maar dat mag natuurlijk niet de oorzaak zijn dat het dan maar niet gebeurt.
Maar BillGaetes hierboven doet alsof er helemaal niet getest wordt voordat een product van MS de deur uitgaat. Ga maar eens kijken in redmond zou ik zeggen. Er zitten meer testers per ontwikkelaar dan ik ooit bij een bedrijf ben tegengekomen. (mag je blij zijn als er al een tester in het team zit)
Axel666 9 februari 2003 13:42
Sorry hoor maar al die reacties van O dit komt te laat en dit hadden ze eerder moeten doen zijn toch te gek voor woorden. De patches zelf waren er al eeuwen en je mag er toch wel vanuit gaan dat de mensen die MS-Sql server beheren weten wat ze doen en dit bijhouden enzo.. Maarja er zijn kennelijk genoeg mensen op de wereld die zo'n ding onder hun beheer hebben en A het illegaal thuis draaien dus niet weten waar ze mee bezig zijn of B meteen ontslagen moeten worden. Voor hen is dit tooltje uitgebracht, het is weer triest..

[add]
Voor ierdereen die wel goed bezig is is dit natuurlijk een leuk hulpje :)
stunn0r @Axel6669 februari 2003 13:57
je mag er ook vanuit gaan dat MS hun eigen servers had gepatched.. alleen was dit niet zo?
dan is er toch duidelijk iets mis met die patch of niet?
Axel666 @stunn0r9 februari 2003 14:59
niks mis met de patch, daar is niks aan verandert en die word nu gebruikt om het op te lossen. er werkt kennelijk iemand die onder puntje B valt dus ;)
regmaster 9 februari 2003 13:44
Yeay right, Mysql....... lekker default draaien zonder admin password.

Wel lopen zeiken dat MS zo slecht is maar SQL 2000 vraagt tenminste tijdens de installatie op een sa password en raad af er geen te gebruiken.
Zowel Mysql als Postgres werken standaard zonder en geven er niet eens een waarschuwing voor.
En ga nou niet ineens roepen dat dat door een goed systeembeheerder opgepakt moet worden want die zijn er net zo min als onder Windows.
Hoeveel liensux installaties ik al niet ben tegengekomen met postgres/mysql zonder admin password dat wil je niet weten.
Net zo schandalig als een MS SQL installatie zonder sa password.
En welke malloot gaat in godsnaam een backend app als een SQL DB rechtstreeks aan het internet koppelen? Als dat bij ons voorkomt is het te hopen dat je goed bent in het schrijven van CV's want dat zul je nodig hebben.

Kortom conclussie, wat je ook als OS of DB gebruikt, een slechte beheerder richt meer schade aan dan de software zelf.
regmaster 9 februari 2003 16:59
Vanaf de RTM versie van MS SQL 2k zit de mededeling dat er geen blank password gebruikt moet worden er al in hoor. Blijkbaar heb je de eerder doorgeklikt en NT authenticatie only gebruikt ( next > next > ok principe) maar het zit er wel degelijk in hoor.

Wij gebruiken, nog geen SP3, dus die functionaliteit is daarin niet extra toegevoegd. wel dat de Cross Database Ownership nu default uitgezet word (eindelijk !!) en dat de SQL Agent user geen admin user hoeft te zijn (hehehe, MS begint het te leren).

Ik, wij, beschikken uiteraard over de reguliere MS cdŽs voor zowel de standaard als de Enterprise versies.
BTW, poortje 1434 UDP hoort inderdaad niet van buitenaf open te staan. Eigenlijk ook niet zonder ACL voor binnen het netwerk.
Tussen het frontend en het backend draaien wij standaard een Firewall en zowiezo staat alles achter een local director, met daarachter een Firewall voor het Frontend natuurlijk.
Verwijderd 9 februari 2003 21:12
Ik denk dat wegens kosten en tijd overwegingen een hoog percentage van de klanten toch niet patcht. Enenals Microsoft zelf.
Verwijderd 10 februari 2003 09:19
Dit is allemaal leuk en aardig,
maar hoe zit het met Ms SQL7.0 ???

Het zou toch handig zijn als de tool ook bij deze versie werkt.

En de Slammer worm??
Daar hebben ze het ook telkens maar alleen over SQL2000.
Ik krijg een beetje het idee dat men 7.0 al weer vergeten is bij mikkisoft.
Verwijderd 11 februari 2003 09:31
Even voor de duidelijkheid over het SA wachtwoord:

Bij de installatie van SQL 2000 als je standaard kiest voor Windows Authentication (en dat is bij mij 99% van alle installaties), dan klik je dus voorbij het SA account. Je kan bij de installatie niet het SA wachtwoord invullen + Windows Authentication kiezen. Het is een of/of optie.

Het SA login account is dus na de installatie actief zonder wachtwoord.

Bij de installatie van SP3 kijkt de installer dit na en zonodig vraagt hij om een wachtwoord. Daarmee bedoel ik: pop-up scherm met duidelijk de waarschuwing en de aanbeveling om deze in te vullen.

70% van de SQL Servers die ik tegen kom zonder SP3 (vooral Exact E-Synergy servers) gebruiken nog SP2 vanwege support op het pakket vanuit Exact en andere zaken.

Je kan eventueel zelf het SA wachtwoord wijzigen met de Enterprise Manager, SQL Server Group, (servernaam / local), Security, Logins --> rechtermuisknop SA --> properties.
The Source 9 februari 2003 12:41
SQL Patch Kit??? Beetje misleidende titel... het is een patch voor SQL server en dat is toch heel iets anders als een patch voor de taal SQL. Just my 2 cents.
Verwijderd @The Source9 februari 2003 13:02
Je hebt inderdaad een punt. Maar Microsoft heeft zelf weinig te maken met SQL op zich. Echter hun SQL server staat wel vol in het licht. Het duurde vast niet lang totdat jij daaraan dacht (patch voor hun server)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq