ハッシュでパスワードを保存すべきところを、生パスワードで保存しているってことか？

Microsoft SQL Serevrの脆弱性により、管理者権限のあるユーザーであれば誰でも同サーバアプリケーション内のすべてのユーザーの未暗号化状態のパスワードを閲覧できる可能性がある。データベース(DB)セキュリティ企業のSentrigoが9月2日(現地時間)に報告している。

セキュリティメディアのDarkReadingの記事によれば、SQL Server 2000または2005では、サーバがオンラインとなって以降は動作中のメモリを閲覧することですべてのユーザーの生パスワードが閲覧可能になっているという。SQL Server 2008ではこうした問題が部分的に修正されているものの、ローカルアクセス権限を持つ管理者であればデバッガ等のメモリダンプでパスワードの閲覧が可能だという。管理者権限を必要とするハードルこそあるものの、内部犯等によって悪用される可能性があるとSentrigoでは指摘している。

http://journal.mycom.co.jp/news/2009/09/09/055/index.html