• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

unsichere stored procedures in MSSQL Server

GeHe

Member
Hallo,

durch einen Pentest auf unserem Applikationsserver wurden wir darauf hingewiesen, dass im lokalen MSSQL-Server (den wir nur für NoSpamProxy nutzen) zwei potentiell unsichere stored procedures aktiviert sind:
- xp_dirtree
- xp_fileexist

Frage: werden diese von irgend einer Komponente von NoSpamProxy verwendet oder können wir diese deaktivieren?

Danke und Gruß
Georg
 
Hallo Georg,

diese stored procedures stammen nicht von uns.
Auf den ersten Blick per Google klingt das nach SQL 2008 :ROFLMAO:
Aus unserer Sicht können diese also deaktiviert werden.

p.s.: Sonst gab es keine Probleme beim Pentest mit NSP? :D

Beste Grüße
Jan
 
Hallo Jan,
danke für die Info, dann deaktivieren wir das Teufelszeugs.
Wir haben noch keinen Detailbericht, wenn da was rauskommt werden wir euch sicher auf einem weniger öffentlichen Weg kontaktieren ;)
Wenn nicht, dann auch :)

LG
Georg
 
Moin,
interessant ist doch erst einmal, um welche Art von Pentest es sich handelt:
  • NSP als Anwendung oder auch alle damit verbundenen Komponenten?
  • Ausschließlich der Weg über das Internet oder auch aus dem LAN?
  • Wurde evtl. sogar ein RED Team los geschickt und NSP war "nur" ein Einstiegspunkt? Stichwort NTLM Relaying...
Fragen über Fragen... Details wären daher interessant und zielführend.

zwei potentiell unsichere stored procedures aktiviert sind
Soweit ich das noch im Kopf habe, sind diese SPs seitens Microsoft nie wirklich dokumentiert worden. Unabhängig davon meine ich, dass diese Teil der master DB sind. Hat also direkt mit NSP eigentlich nichts zu tun. Und der dedizierte Nutzer für NSP, welcher nur die notwendigen Rechte hat, dürfte an die SPs somit gar nicht ran kommen. Oder bin ich auf dem Holzweg?

p.s.: Sonst gab es keine Probleme beim Pentest mit NSP? :D
Ich gehe davon aus, dass ihr eurer Software regelmäßig einen Pentest unterziehen lasst. Oder aber entsprechende Experten als Kollegen habt. Alles andere würde mich heutzutage wundern.

Auf den ersten Blick per Google klingt das nach SQL 2008 :ROFLMAO:
Gibt es meines Wissens nach auch noch bei SQL 2019...


Gruß,
Daniel
 
Zurück
Oben