יום שני, 26 באוקטובר 2009

סנטריגו מגלה פרצה משמעותית של חשיפת סיסמאות ב-Microsoft SQL Server

בוקר טוב,

סנטריגו הודיעה כי חשפה פרצה משמעותית ב-Microsoft SQL Server, אשר מאפשרת לכל משתמש עם זכויות גישה אדמיניסטרטיביות לראות סיסמאות של משתמשים אחרים, או את הסיסמאות של יישומים הניגשים לשרת באימות SQL Server.

"במהלך מחקר אבטחה שוטף שלנו לתוך מסדי נתונים SQL Server, הבחין אחד מחוקרינו כי סיסמאותיו האישיות נראו בבירור כזיכרון ב-SQL Server", אמר סלביק מרקוביץ', ה-CTO של סנטריגו. "נכון שניצול פירצה זאת דורש גישה אדמיניסטרטיבית, אך במקרים רבים יש למשתמשים רבים גישה שכזו. אפילו אם האדם אמין לחלוטין, אסור שיוכל לראות אי פעם סיסמה עדכנית של משתמש אחר. בנוסף, הסיכון של האקר המקבל גישה אדמיניסטרטיבית לשרת קיימת תמיד, והחשיפה של סיסמאות משתמשים נוספות עלולה להגביר משמעותית את הסיכון שיוכל לחדור למערכות אחרות".

בעוד אדמיניסטרטורים יכולים לבצע בדרך כלל Reset של סיסמת משתמש אם נדרש, הרי תהליכים מומלצים באבטחה לא מאפשרים אפילו לאדמיניסטרטורים לראות את הסיסמאות העדכניות של משתמשים אחרים.
בנוסף, יישומים משקיעים רבות בערפול סיסמאות כאשר הן נדרשות בתוך התוכנה, ואסור שיאחסנו סיסמאות כ-"טקסט גלוי", בזיכרון (כפי שקורה בפרצה זאת) או בדיסק. זו אפילו בעיה גדולה יותר, מאחר שארגונים רבים חייבים לציית לתקנים רבים ולרגולציות הדורשות הפרדה קפדנית של תפקידים, מה שמופר בבירור על-ידי שיתוף סיסמאות משתמשים עם האדמיניסטרטורים.

לפרטים נוספים:
http://www.sentrigo.com/passwords
http://www.thepeople.co.il/_DailyMaily/ItemClean.asp?ArticleID=28889&Vol=1024&SearchParam=&CategoryID=72

יום שישי, 23 באוקטובר 2009

End of Service Pack Support for SQL Server 2005 SP2 and SQL Server 2008 RTM

שלום רב,
האם יש לכם בארגון שרתי sql server בגרסת sql server 2005 service pack 2 או שרתי 2008 עם בגרסת RTM?

במידה וכן –
חשוב שתדעו כי MC מפסיקה את התמיכה במוצר באפריל 2010 ולכן עליכם לשדרג את שרתי ה- 2005 ל- service pack 3 ושרתי ה- 2008 ל- service pack 1 .

פרטים נוספים:
http://blogs.msdn.com/sqlreleaseservices/archive/2009/10/08/end-of-service-pack-support-for-sql-server-2005-sp2-and-sql-server-2008-rtm.aspx
בהצלחה!

יום חמישי, 22 באוקטובר 2009

Windows 7

שלום רב,
מיקרוסופט השיקה היום בישראל ובעולם, את מערכת ההפעלה החדשה שלה שתחליף את המערכות הישנות - XP וויסטה.

3 גרסאות יוצעו למכירה, כאשר מחירה של הגרסה הטובה ביותר הכוללת את כל התכונות, יעמוד על 1,099 שקל.


האתר הרשמי:



Top 10 reasons to move from Windows XP to Windows 7:


יום ראשון, 18 באוקטובר 2009

Security Update for SQL Server

שלום רב,

מייקרוסופט שיחררה עדכון אבטחה ל- SQL Server 2005 גרסאות SP2 ו- SP3

להלן פרטי העדכון לשרתים מבוססים service pack 2:

Brief Description
A security issue has been identified in the SQL Server 2005 Service Pack 2 that could allow an attacker to compromise your system and gain control over it.
Overview
A security issue has been identified in the SQL Server 2005 Service Pack 2 that could allow an attacker to compromise your system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
System Requirements
Supported Operating Systems: Windows 2000; Windows Server 2003; Windows Server 2008; Windows Vista; Windows XP
This update is applicable to SQL Server 2005 SP2 RTM instances.
Instructions
Download the appropriate file for your computer's processor by clicking one of the links below. You can run the package directly from the link or you can also save it on your local disk to install later


http://www.microsoft.com/downloads/details.aspx?familyid=76d3d653-e9a0-48bc-afae-d3553f7b9235&displaylang=en


להלן פרטי העדכון לשרתים מבוססים service pack 3:
Brief Description
A security issue has been identified in the SQL Server 2005 Service Pack 3 that could allow an attacker to compromise your system and gain control over it.

Overview
A security issue has been identified in the SQL Server 2005 Service Pack 3 that could allow an attacker to compromise your system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.

System Requirements
Supported Operating Systems: Windows 2000; Windows 7; Windows Server 2003; Windows Server 2008; Windows Vista; Windows XP
This update is applicable to SQL Server 2005 SP3 RTM instances.

Instructions
Download the appropriate file for your computer's processor by clicking one of the links below. You can run the package directly from the link or you can also save it on your local disk to install later

http://www.microsoft.com/downloads/details.aspx?familyid=e6f307c1-8b21-406e-9c6f-b1a3a1e9a98f&displaylang=en


לידיעתכם,

יום שלישי, 13 באוקטובר 2009

Deploying SQL Server 2008 Based on Payment Card Industry Data Security Standards

שלום רב,

כידוע חברות אשר עוסקות בנושא סליקה ותשלומים צריכות לעמוד בתקן PCI -
Payment Card Industry Data Security Standards .
פלטפורמת sql server 2008 טומנת בחובה שיפורים רבים , ובינהם שיפורים ופיצ'רים רבים בתחום האבטחה, תיעוד ועוד. מצורף בזאת מאמר מפורט בשם " Deploying SQL Server 2008 Based on Payment Card Industry Data Security Standards (PCI DSS)" המפרט את היכולות הרבים בתחום ב- sql server 2008:

http://www.parentebeard.com/lib/pdf/Deploying_SQL_Server_2008_Based_on_PCI_DSS.pdf

לידיעתכם.

יום שני, 12 באוקטובר 2009

בעיית הרשאות ב SSIS

שאלה:

אני מריץ package ב SSIS והוא עבוד מצוין .
ושאני מפעיל אותו דרך הJOB יש לי הודעת שגיאה
Executed as user: DWH-LOADER\SYSTEM.
... 9.00.3042.00 for 64-bit Copyright (C) Microsoft Corp 1984-2005. All rights reserved. Started: 11:23:39 AM Error: 2009-10-08 11:23:39.54 Code: 0xC0202009 Source: MainMap Connection manager "ICQ" Description: SSIS Error Code DTS_E_OLEDBERROR. An OLE DB error has occurred. Error code: 0x80040E4D. An OLE DB record is available. Source: "Microsoft SQL Native Client" Hresult: 0x80040E4D Description: "Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON'.". End Error Error: 2009-10-08 11:23:39.54 Code: 0xC020801C Source: MainMap Log provider "SSIS log provider for SQL Server" Description: SSIS Error Code DTS_E_CANNOTACQUIRECONNECTIONFROMCONNECTIONMANAGER. The AcquireConnection method call to the connection manager "ICQ" failed with error code 0xC0202009. There may be error messages posted before this with more information on why the AcquireConnection method call failed. COM error object... The package execution fa... The step failed.
שאני מסתכל בdatasource ב JOBS
אלו שני ה connection string שאיתם אני מתחברData Source=DWH-DB;Initial Catalog=ICQ;Provider=SQLOLEDB.1;Integrated Security=SSPI;Auto Translate=True;Data Source=DWH-DB;Initial Catalog=ICQ;Provider=SQLNCLI.1;Integrated Security=SSPI;Persist Security Info=True;
למה יש לי הודעת שגיאה ?

תשובה:
1. במידה ואתה מגדיר ב- datasource שם משתמש (login) וסיסמה ה- job מצליח?
כלומר בנפילת SSIS ע"י ה- JOB חשוב לוודא מה מקור הבעיה, בהחלט יכול להיות שמקור הבעיה הינה Integrated Security.
2. תוודא של- owner של ה- job יש הרשאות.

בהצלחה.

יום ראשון, 4 באוקטובר 2009

חיפוש שרתי sql server ברשת?

שלום רב,

שאלה:
לקוח שלי ביקש ממני לבצע מיפוי של כל שרתי ה- sql server בארגון. האם יש דרך לסרוק את הרשת ולקבל את הרשימה?

תשובה:
כידוע ישנו כלי בשם SQLCMD אשר מטרתו התחברות לשרת ה- sql server שלנו והרצת פקודות ישירות מה- CMD ללא כלי הניהול הסטנדרטיים של מייקרוסופט.
אנו נשתמש בו במקרה חרום כאשר יש בעיה כל שהיא בכלי הניהול, או בדרך ההתקשרות לשרת בסיס הנתונים. או כאשר אנו נרצה להריץ פקודות מול בסיס הנתונים על ידי קובץ EXE ועוד...

אך ל- SQLCMD ישנו עוד שימושים.
ה- SQLCMD יכול לקבל משתנים ובעזרתם אנו יכולים לבצע פעולות נוספות.
כגון: אם נריץ את הפקודה SQLCMD עם הפרמטר L , ה- SQLCMD יסרוק את הרשת בה אנו נימצאים ויתן לנו את רשימת שרתי ה- SQL SERVER שנימצאים:
SQLCMD -L

בהצלחה!
חג שמח!