Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-349

[MS/SQL] Service Packs für den SQL Server 7.0 speichern Passwort in Klartext
(2001-05-11 17:15:27+00) Druckversion

Quelle: http://www.microsoft.com/technet/security/bulletin/MS00-035.asp

Bei der Installation der Service Packs (1, 2 und/oder 3) für den Microsoft SQL Server 7.0 wird das Passwort des System Administrator Accounts in Klartext abgespeichert.

Betroffene Systeme

  • Microsoft SQL Server 7.0 mit Service Pack 1, 2 und/oder 3

Typ der Verwundbarkeit
design flaw

Beschreibung
Bei der Installation der Service Packs 1, 2 und/oder 3 für den Microsoft SQL Server 7.0 wird bei Mixed Mode Authentifizierung das System Administrator Passwort in Klartext abgespeichert. Das Klartextpasswort wird in den Dateien %TEMP%\sqlsp.log und %WINNT%\setup.iss abgespeichert, wobei die Standardzugriffsrechte jedem interaktiven Benutzer den Zugriff auf diese Dateien erlauben.

Wird bei der Installation der Service Packs anstelle des Mixed Mode der sicherere Windows NT Authentication Mode gewählt, so wird das Passwort nicht in Klartext abgespeichert.

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

Im Knowledge Base Artikel Q263968 wird ein Tool (Killpwd.exe) zum Löschen der Dateien mit dem Klartextpasswort angeboten.

Workaround
Wird zur Authentifzierung der Mixed Mode eingesetzt, sollte nach der Installation der Service Packs (1, 2, 3) die Dateien mit dem gespeicherten Klartextpasswort gelöscht werden.

  • Entfernung folgender Dateien (Dateien nicht in den Papierkorb verschieben)
    • %TEMP%\sqlsp.log
    • %WINNT%\setup.iss
Falls möglich sollte der Windows NT Authentication Mode eingesetzt/bevorzugt werden.

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.