安全研究
安全漏洞
Microsoft SQL Server 7.0 管理员口令泄漏问题
发布日期:2000-06-16
更新日期:2000-06-16
受影响系统:Microsoft SQL Server 7.0 Service Packs 1 and 2
- Microsoft Windows NT 4.0
描述:
BUGTRAQ ID:
1281
CVE(CAN) ID:
CVE-2000-0402
在安装SQL Server 7.0 Service Pack 1 和 Service Pack 2时,如果选择了混合认证方式(NT 认证方式以及SQL server认证方式)的话,数据库管理员(sa)的口令将以明文方式保存在一个名叫'sqlsp.log'的文件中,这个文件被放到%TEMP%目录中。任何可以本地登录到这台机器的用户都可以访问到这个文件获取SQL server管理员的口令。
微软更新了安全公告(MS00-035),里面提到,在上面的情况下,口令除了保存在%TEMP%\sqlsp.log中,同时也会被保存在%WINNT%\setup.iss中,普通用户都可以读取这些文件。
<* 来源: Gordon Newman ,PeopleSoft
Akintunde Oluwaleimu
Microsoft Security Bulletin (MS00-035)
*>
建议:
对于使用SQL Server 7.0 Service Pack 1的用户,查找并删除sqlsp.log和setup.iss文件。
微软提供了SQL Server 7.0 Service Pack 2的补丁,可以在下列地址下载
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=21546
注意:即使原先已经打过补丁的用户也应该重新下载并安装新补丁
浏览次数:6554
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |