Fedora schließt Exploit-Tool aus

19.11.2010

Die Fedora-Distribution nimmt das SQL-Exploit-Tool Sqlninja nicht in die Paketliste auf, um rechtlichen Schwierigkeiten vorzubeugen.

 

In einer Mail an die Liste des Fedora-Boards erläutert Projektleiter Jared Smith die Gründe dafür, Sqlninja nicht in die Fedora-Kerndistribution aufzunehmen. So ging es nicht darum, jedes Security-Tool auszuschließen, dass man statt für Auditing auch dazu verwenden kann, nur Schaden anzurichten. Vielmehr sei es bei jeder fraglichen Software eine Abwägung, welche Anwendung im Vordergrund steht. So würde das Board bei seiner Entscheidung unter anderem berücksichtigen, wie sich ein Tool beispielsweise selbst vermarktet. Sqlninija beispielsweise beschreibt sich selbst als "SQL Server injection and takeover tool" kokettiert mit Versprechungen wie "Fancy going from a SQL Injection on Microsoft SQL Server to a full GUI access on the DB?" und gibt als Ziel an "Its main goal is to provide a remote access on the vulnerable DB server". Dass es gleichzeitig großen Wert auf einfache Bedienbarkeit legt, dient den Fedora-Verantwortlichen als weiteres Indiz dafür, dass es sich um ein typisches Werkzeug handelt, das eher "Script-Kiddies" als von professionellen Security-Experten eingesetzt wird. Alle Erwägungen führten unter dem Strich dazu, dass Sqlninja nun nicht Teil der Fedora-Distribution ist, jedoch sei es ohnehin in Third-Party-Repositories verfügbar, erklärt Jared in seiner Mail.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Fedora 25 ist fertig

Die neue Fedora-Distribution erscheint in drei Editionen: Workstation, Server und Atomic Host.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022