Sentrigo 社は、 SQL Server のログインパスワードについての脆弱性を発表しています。
Sentrigo Uncovers Significant Password Exposure Vulnerability in Microsoft SQL Server
(2009/9/2, sentigo)
サーバー管理者が、動作中の SQL Server のメモリをダンプすることによって、ログインのパスワードを取得することができるとするものです。あわせて、メモリ上のパスワード情報を消去するツールを提供しています。
Sentrigo 社は、たとえ管理者であっても、ログインのパスワードを見ることができないようになっている必要があると説明しています。
この件について、マイクロソフトがコメントを出しています。
SQL Server information disclosure non-vulnerability
(2009/9/2, Microsoft Security Research & Defense)
マイクロソフトの見解は、パスワードを得るためには、サーバーの Administrotors 権限が必要であるため、脆弱性ではないとしています。
攻撃者がサーバーの Administrators 権限を持てるのであれば、サーバーは乗っ取られているため、不正利用を防ぐことができないためです。
※できれば、それでもパスワードが取り出せないようになつているといいなぁ。
参考: