Корпорация Microsoft и фирма Sentrigo разошлись в оценке ситуации с
возможностью просмотра пользовательских паролей в SQL Server лицами, имеющими
административный доступ к программе.
Фирма Sentrigo предупредила в среду о наличии "серьезной уязвимости" в SQL
Server 2000, 2005 и 2008, использующем режим смешанной аутентификации (SQL
Server and Windows Authentication Mode). В этом режиме люди, имеющие привилегии
администраторов, могут просматривать пароли пользователей. В Sentrigo полагают,
что хотя администраторам обычно положено иметь возможность менять пароли
пользователей, видеть их в незашифрованном виде они не должны.
В Microsoft, в свою очередь, отказались менять способ управления паролями,
указав на то, что пользователями с правами администраторов в любом случае имеют
полный контроль над системой. Представитель корпорации призвал клиентов
использовать в работе уже выпущенные Microsoft инструкции по обеспечению
безопасности.
Учитывая, что у среднестатистического администратора всегда имеется
возможность подсмотреть данные авторизации пользователей еще как минимум
полудюжиной способов, назвать находку Sentrigo серьезной уязвимостью
действительно трудно. И хотя наличие возможности просмотра паролей, возможно,
нарушает принципы глубинной безопасности, вряд ли IT-профессионалы потеряют
из-за этого покой.
Впрочем, те, кто сон все-таки потеряет, могут воспользоваться
бесплатной утилитой от Sentrigo, которая делает SQL Server более безопасным для
пользователей.
Загрузить утилиту можно здесь.
