SQL Server, coup au but

C’est la rentrée… les chasseurs de failles se réveillent. L’équipe de Sentrigo s’est aperçue qu’une personne possédant des droits d’admin pouvait lire « en clair » les mots de passe de tous les utilisateurs se connectant sur SQL Server (2000, 2005 et 2008, toutes plateformes confondues). Le communiqué de triomphe de Sentrigo s’achève en précisant qu’un utilitaire chargé d’effacer ces indiscrétions, Passwordizer, est disponible en téléchargement gratuit.
Cette histoire fait suite aux différentes attaques en « dump mémoire » de cet hiver et à la vague d’injections SQL de 2007-2008.