Новые проблемы в Microsoft SQL Server

12.07.2002 | 15:26
MS SQL версий 7.0 и 2000 некорректно удаляет временные файлы после своей инсталляции. В них остаются такие данные как имена пользователей Windows, а также их логины и пароли.

Файл setup.iss не удаляется из системы, и найти его можно либо в директории windows, либо %sqlserverinstance%\install\. Причем файл в директории windows имеет права, обеспечивающие любому полный доступ к нему.

Если SQL сервер устанавливался со смешанным режимом аутентификации, то в setup.iss сохраняются логин и пароль, указанные в процессе инсталляции. А если SQL сервер сконфигурирован так, чтобы запускаться от имени другого пользователя в системе, то в setup.iss будут имя и пароль этого пользователя. При этом, пароли сохраняются либо в открытом тексте (если установлена версия ниже SQL Server 7.0 Service Pack 4), либо с использованием довольно слабой схемы шифрования..

Любой пользователь, получивший setup.iss, сможет декодировать пароли и получить доступ к SQL серверу.

Текст бюллетеня Microsoft: http://www.microsoft.com/technet/security/bulletin/MS02-035.asp.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://hack.com.ua
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код