SQL Server Sicherheitslücken – der Vergleich macht Sie sicher


Nachdem heute vor einer neuen kritischen Lücke im SQL-Server gewarnt wird (Details siehe http://www.microsoft.com/technet/security/advisory/961040.mspx, SQL Server 2008 ist nicht betroffen) nehme ich das zum Anlass die berichteten Sicherheitslücken von namhaften DB Herstellern der letzten Jahre Revue passieren zu lassen. Der Vergleich überrascht: in Summe (seit 2004 – erst da gibt es zu allen Kandidaten Zahlen) ist SQL Server die sicherste Datenbank im Vergleich mit DB2, Oracle und mySQL – und das teilweise mit Abstand! Bilder sprechen mehr als 1000 Worte:

image

Wie kommen die Zahlen zustande? Als Basis für die Anzahl der Sicherheitslücken pro Jahr und Hersteller dienen die Daten von:

Die Anzahl der kritischen Sicherheitslücken umfasst jeweils alle DB Versionen und ist die jeweils größte berichtete Anzahl an Lücken (die Vulnerability DB’s haben leicht abweichende Werte, ich habe für alle Produkte die schlechtesten Werte aggregiert). Die Werte können leicht über Abfragen in den jeweiligen Datenbanken selbst überprüft werden.

 

Martin Pöckl
martin.poeckl@microsoft.com

Comments (2)

  1. Stefan says:

    Hm. Statistiken. Wenn ich mich nur auf den SQL-Server konzentrier, müsste die Überschrift wohl "Sprunghafter Anstieg von Sicherheitslücken in SQL-Server" heißen. 🙂

  2. Martin says:

    Mir ging es eher um die allgemeine Wahrnehmung. Wenn eine Sicherheitslücke im SQL Server auftritt schafft sie es sogar in die Web-Ausgaben diverser Medien (z.B. Standard), im Gegensatz zu den anderen 3en. Aus einer Statistik einen Trend für die Zukunft abzulesen halte ich ohnehin für fragwürdig. Aber eines fällt schon auf: zwischen Oracle und SQL/DB2/MySQL liegen Jahr für Jahr Welten… SQL, DB2 und MySQL können die Sicherheitslücken immerhin konstant niedrig halten.

Skip to main content