Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-878

[MS/SQL] Schwachstellen in der Installationsprozedur
(2002-07-11 18:48:50.547968+00) Druckversion

Quelle: http://cert.uni-Stuttgart.DE/archive/ms/2002/07/msg00003.html

Die Installationsroutinen des SQL-Servers speichern die Passwörter für den SQL-Server in Logfiles ab. Angreifer mit Zugriff auf das lokale Dateisystem können darüber das Passwort des SQL-Server-Accounts ermitteln.

Betroffene Systeme

  • Microsoft SQL Server 7
  • Microsoft Data Engine 1.0 (MSDE 1.0)
  • Microsoft SQL Server 2000

Nicht betroffene Systeme

  • MSDE 2000

Einfallstor
Zugriff auf das Dateisystem des SQL-Servers.

Auswirkung
Zugriff auf eine Passwortdatei, wodurch möglicherweise das Passwort des SQL Server Service Account ermittelt werden kann.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Installationsroutinen des Microsoft SQL-Servers sowie der Service-Packs für den SQL-Server speichern die Passwörter für den SQL-Server-Prozess in einer Datei namens setup.iss sowie möglicherweise in weiteren Protokollierungsdateien (sqlstp.log bzw. sqlspX.log). Seit SQL Server 7.0 Service Pack 4 bzw. SQL Server 2000 SP1 werden die Passwortinformationen mit schwacher Verschlüsselung abgespeichert. Angreifer mit Zugriff auf das lokale Dateisystem des SQL-Servers können darüber möglicherweise das Passwort des SQL Server Service Account ermitteln. Bei einer Passwortänderung findet keine Aktualisierung dieser Protokollierungs- bzw. Setup-Dateien statt. Es wird generell angeraten, die Passwörter regelmäßig zu ändern.

Gegenmaßnahmen
Microsoft stellt ein Tool namens KillPwd zur Verfügung, welches etwaige Server-Logs und Setup-Dateien nach SQL-Server-Passwörtern durchsucht und ggf. entfernt.

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.