发布日期：2003-06-29
更新日期：2003-07-07

受影响系统：

Microsoft Commerce Server 2002

描述：

---

BUGTRAQ  ID: 8063

Microsoft Commerce Server是一款Microsoft开发的构建、配置和分析电子商务站点的WEB服务产品。

Microsoft Commerce Server安装的注册表键值设置权限不安全，远程攻击者可以利用这个漏洞查看注册表，获得敏感信息，并用于破坏数据库。

当配置成通过SQL服务器进行验证时，Microsoft Commerce Server 2002安装的注册表默认权限不安全，攻击者如果能交互访问有此漏洞软件的系统主机，就可能访问存储在注册表中的敏感信息，如验证信息，借此用于破坏数据库。

目前不确定Microsoft Commerce Server 2000是否也受此漏洞影响。

<*来源：Cesar Cerrudo （cesarc56@yahoo.com）
  
  链接：http://www.securityfocus.com/bid/8063
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 限制对如下注册表键值的读访问：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Commerce Server

厂商补丁：

Microsoft
---------
根据报告，微软将不对此问题发布补丁。

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/security/default.asp

浏览次数：2785
严重程度：0（网友投票）