发布日期：2003-11-22
更新日期：2003-11-27

受影响系统：

SNAP Innovation PrimeBase SQL Database Server 4.2

描述：

---

BUGTRAQ  ID: 9087

PrimeBase SQL是一款数据库服务程序。

PrimeBase SQL数据库服务程序不安全存储帐户信息，本地攻击者可以利用这个漏洞获得敏感信息，未授权访问资源。

PrimeBase SQL数据库的管理服务程序把管理密码存在在'password.adm'文件中，默认umask设置为022，而且密码存储以明文方式，没有进行加密，恶意用户可以利用这个密码访问基于WEB的管理服务程序然后破坏系统。

而且数据库自带没有设置密码的"Administrator"帐户，不过文档建议安装者在安装过程中要为管理员用户设置密码。

<*来源：Larry W. Cashdollar （lwc@vapid.dhs.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106952098218695&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 设置'password.adm'文件权限，只允许管理服务器可读。

厂商补丁：

SNAP Innovation
---------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.primebase.com/en/index.html

浏览次数：2938
严重程度：0（网友投票）