Onderzoeker onder vuur na SQL Server exploit
De beveiligingsonderzoeker die twee weken geleden een nieuw lek in Microsoft's SQL Server publiceerde omdat Microsoft zo traag reageerde, krijgt flinke kritiek van andere beveiligers te verduren. Volgens Bernhard Mueller wist Microsoft al in april van de kwetsbaarheid en had het beloofd om in september een patch uit te brengen. Aangezien de update er in december nog steeds niet was, besloot hij tot full-disclosure over te gaan. Het onthullen van de details en exploit aan het publiek.
En dat had hij niet moeten doen, zegt Eric Schultze van Shavlik Technologies. "Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht."
Reacties (23)
Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht.
Neen, Microsoft heeft de servers en gegevens in gevaar gebracht door in eerste instantie lekke software vrij te geven en vervolgens laks te zijn in het patchen. 8 maanden is gewoon absurd lang. Mijns inziens heeft de onderzoeker veel te lang gewacht met de full disclosure.
24-12-2008, 10:59 door
[Account Verwijderd]
[Verwijderd]
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
Ack!Door Anoniem
Neen, Microsoft heeft de servers en gegevens in gevaar gebracht door in eerste instantie lekke software vrij te geven en vervolgens laks te zijn in het patchen. 8 maanden is gewoon absurd lang. Mijns inziens heeft de onderzoeker veel te lang gewacht met de full disclosure.
Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht.
Neen, Microsoft heeft de servers en gegevens in gevaar gebracht door in eerste instantie lekke software vrij te geven en vervolgens laks te zijn in het patchen. 8 maanden is gewoon absurd lang. Mijns inziens heeft de onderzoeker veel te lang gewacht met de full disclosure.
eens
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
eens again.
Door Anoniem
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
Ack!eeeen nog eens EENS!
MS heeft idd 6 tot 8 maand de tijd gehad.
Dat de software in de eerste instantie lek was kan niet elke developer weten natuurlijk.
Dat de beste man over is gegaan op total disclosure kan ik alleen maar mee inleven.
Zo heeft hij misschien wel andere in "gevaar" gebracht, maar zo dwingt hij MS ook af om de patches te releasen.
Vind zowiezo dat MS TE traag is met patchen!
:wq!
24-12-2008, 11:21 door
SharkWare
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
Maar Microsoft is niet de enige die hier afgestraft wordt. Door het "laks gedrag" van een ander zouden jouw (en andermans) gegevens in de handen van de verkeerde persoon terecht kunnen komen.
Dit was echter ook al mogelijk voordat de onderzoeker zijn bevindingen aan de wereld bekend gemaakt had. De kans op misbruik was echter voor de disclosure kleiner dan na de disclosure.
Zo zwart wit als jij het schildert is het dus niet.
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame
mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?
Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"
oh nee, die hebben pubers niet.....
Maar Microsoft is niet de enige die hier afgestraft wordt. Door het "laks gedrag" van een ander zouden jouw (en andermans) gegevens in de handen van de verkeerde persoon terecht kunnen komen.
Gewoon een echt os gebruiken. :P
Door Anoniem
welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame
mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?
Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"
oh nee, die hebben pubers niet.....
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame
mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?
Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"
oh nee, die hebben pubers niet.....
Het belang is dat Microsoft nu wél urgentie gaat zien, omdat de klanten nu weten dat ze 8 maanden lang voor de gek zijn gehouden.
24-12-2008, 12:00 door
pikah
Het belang is dat Microsoft nu wél urgentie gaat zien
Dat is wat je ermee bereikt inderdaad. Had echter al veel eerder moeten gebeuren bij Microsoft. Verder vraag ik me toch echt af waarom MSSQL servers rechtstreeks op internet gekoppeld zijn, misschien klopt daar al iets niet....
Als je kijkt naar SQL-injectie, is toch echt de webapplicatie die in eerste instantie niet goed is...
24-12-2008, 12:05 door
[Account Verwijderd]
[Verwijderd]
24-12-2008, 12:07 door
[Account Verwijderd]
[Verwijderd]
Paniek peeuw..
In het geval van Microsoft SQL Server 2000 Desktop Engine en SQL Server 2005 Express worden standaard geen verbindingen van buitenaf geaccepteerd. Een geauthenticeerde aanvaller zou de aanval daarom alleen lokaal kunnen uitvoeren.
In het geval van Microsoft SQL Server 2000 Desktop Engine en SQL Server 2005 Express worden standaard geen verbindingen van buitenaf geaccepteerd. Een geauthenticeerde aanvaller zou de aanval daarom alleen lokaal kunnen uitvoeren.
24-12-2008, 12:23 door
prikkebeen
Wel weer toevallig dat hun nieuwste versie niet gevoelig voor dit lek is. Upgraden en betalen dan maar weer naar de laatste versie? Help Microsoft de winter door!!
Hoezo geen updates? Er staat toch overal dat SP3 niet kwetsbaar is...
Even downloaden, installeren en opgelost.
Wat een gezeur zeg!
Even downloaden, installeren en opgelost.
Wat een gezeur zeg!
24-12-2008, 12:41 door
spatieman
heb je een duur betaald 24 uurs service contract, mag je nog 6 weken wachten voor je geholpen wordt.
als dom voobeeld genoemd.
als dom voobeeld genoemd.
Door Anoniem
Gewoon een echt os gebruiken. :P
Maar Microsoft is niet de enige die hier afgestraft wordt. Door het "laks gedrag" van een ander zouden jouw (en andermans) gegevens in de handen van de verkeerde persoon terecht kunnen komen.
Gewoon een echt os gebruiken. :P
En als jij met je "niet-microsoft" OS een aankoop doet op internet controleer je eerst of de webserver wel op een veilig OS draait? Volgens mij heb jij het probleem niet helemaal begrepen. Het gaat hier om het de software op de server, niet de software die je zelf gebruikt.
24-12-2008, 12:59 door
prikkebeen
Door AnoniemHoezo geen updates? Er staat toch overal dat SP3 niet kwetsbaar is...
Even downloaden, installeren en opgelost.
Wat een gezeur zeg!
Even downloaden, installeren en opgelost.
Wat een gezeur zeg!
Lek: SQL Server 2000, SQL Server 2005, SQL Server 2005 Express Edition, SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2000 Desktop Engine (WMSDE) and Windows Internal Database (WYukon) can be exploited and hijacked by hackers.
Niet lek: Newer versions of the popular software, which is used by many Web sites to power back-end databases, are immune from attack, however. Those versions include SQL Server 7.0 Service Pack 4 (SP4), SQL Server 2005 SP3 and SQL Server 2008. That last version, the newest in the line, was released to manufacturing just last August.
Het is maar net welke versie je gebruikt dus. Maar goed, ik zal wel zeuren.
24-12-2008, 13:48 door
Eerde
En dat had hij niet moeten doen, zegt Eric Schultze van Shavlik Technologies. "Dit is een voorbeeld van onverantwoorde disclosure. Deze zogenaamde beveiligingsonderzoeker heeft voor zijn eigen roem duizenden servers en mogelijk een ongekend aantal privégegevens van mensen in gevaar gebracht."
Sterker nog ik vind dat deze man rijkelijk bellont moet worden door M$ die haar belofte niet is nagekomen, na 6 maanden moet er automatisch $ 100,000.00 betaald worden, na 3 maanden bv 50,000,000.00 dat zou als het om een bewezen lek gaat van een bepaalde categorie de norm moeten zijn bij luizig gedrag.Het is M$ die mensen in gevaar heeft gebracht, niet de boodschapper.
24-12-2008, 14:21 door
Joren
Ik zie niet zo goed wat het probleem is van deze disclosure. Zoals anoniem hierboven ook al aangeeft is het lek 2 maanden geleden gedicht met het uitkomen van de Service Packs. Het probleem ligt dus niet zozeer meer bij MS, maar meer bij de beheerders die deze SPs nog niet geïnstalleerd hebben.
Door JorenIk zie niet zo goed wat het probleem is van deze disclosure. Zoals anoniem hierboven ook al aangeeft is het lek 2 maanden geleden gedicht met het uitkomen van de Service Packs. Het probleem ligt dus niet zozeer meer bij MS, maar meer bij de beheerders die deze SPs nog niet geïnstalleerd hebben.
Als MickeySoft het bekend had gemaakt dan had je gelijk... maar dat hebben ze niet waardoor ze hun plicht hebben verzuimd.
24-12-2008, 17:43 door
ddegroot
Door Anoniem
welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame
mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?
Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"
oh nee, die hebben pubers niet.....
Door HugoWat een gelul. MS heeft meer dan een half jaar de tijd gehad. Als het echt zo'n kritiek lek is, dan hadden ze er maar aan wat moeten doen. Laks gedrag moet gewoon worden afgestraft.
welk belang heeft het gedient om deze bug openbaar te maken ? alleen zijn eigen 5 minutes of fame
mogen daarom de gegevens van duizenden mensen gestolen en misbruikt worden ?
Ik gun het niemand maar hoop echt van harte dat ze de CC`s van bovenstaande reageerders ook even plunderen, eens kijken hoe ze dan "praten"
oh nee, die hebben pubers niet.....
Beetje rare offtopic reactie heb je...
Maar ik kan me voorstellen als SQL beheerder je hiervan graag op de hoogte van wordt gebracht en eventueel zelf maatregelen kunt nemen (zoals de workaround van SEC, of upgraden). Deze beveiligingsonderzoeker zal vast niet de enige zijn geweest die de exploit kent. En zo spannend zal de exploit niet zijn, anders had MS toch wel sneller een patch uitgebracht?
Stelletje huilebalken, dit is een prikkel die laks gedrag afstraft en daarmee een drang tot beter gedrag creeert een corrigerende tik, niks meer niks minder. Dan hadden die falers bij micro$ucks het in eerste instantie maar beter moeten aanpakken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.