Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-349

[MS/SQL] Service Packs für den SQL Server 7.0 speichern Passwort in Klartext
(2001-05-11 17:15:27+00)

Quelle: http://www.microsoft.com/technet/security/bulletin/MS00-035.asp

Bei der Installation der Service Packs (1, 2 und/oder 3) für den Microsoft SQL Server 7.0 wird das Passwort des System Administrator Accounts in Klartext abgespeichert.

Betroffene Systeme

Typ der Verwundbarkeit
design flaw

Beschreibung
Bei der Installation der Service Packs 1, 2 und/oder 3 für den Microsoft SQL Server 7.0 wird bei Mixed Mode Authentifizierung das System Administrator Passwort in Klartext abgespeichert. Das Klartextpasswort wird in den Dateien %TEMP%\sqlsp.log und %WINNT%\setup.iss abgespeichert, wobei die Standardzugriffsrechte jedem interaktiven Benutzer den Zugriff auf diese Dateien erlauben.

Wird bei der Installation der Service Packs anstelle des Mixed Mode der sicherere Windows NT Authentication Mode gewählt, so wird das Passwort nicht in Klartext abgespeichert.

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

Im Knowledge Base Artikel Q263968 wird ein Tool (Killpwd.exe) zum Löschen der Dateien mit dem Klartextpasswort angeboten.

Workaround
Wird zur Authentifzierung der Mixed Mode eingesetzt, sollte nach der Installation der Service Packs (1, 2, 3) die Dateien mit dem gespeicherten Klartextpasswort gelöscht werden.

Falls möglich sollte der Windows NT Authentication Mode eingesetzt/bevorzugt werden.

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=349