[MS/SQL] Service Packs für den SQL Server 7.0 speichern Passwort in Klartext
(2001-05-11 17:15:27+00)
Quelle:
http://www.microsoft.com/technet/security/bulletin/MS00-035.aspBei der Installation der Service Packs (1, 2 und/oder 3) für den Microsoft SQL Server 7.0 wird das Passwort des System Administrator Accounts in Klartext abgespeichert.
Betroffene Systeme
- Microsoft SQL Server 7.0 mit Service Pack 1, 2 und/oder 3
Typ der Verwundbarkeit
design flaw
Beschreibung
Bei der Installation der Service Packs 1, 2 und/oder 3 für den Microsoft SQL Server 7.0 wird bei Mixed Mode Authentifizierung das System Administrator Passwort in Klartext abgespeichert. Das Klartextpasswort wird in den Dateien %TEMP%\sqlsp.log und %WINNT%\setup.iss abgespeichert, wobei die Standardzugriffsrechte jedem interaktiven Benutzer den Zugriff auf diese Dateien erlauben.
Wird bei der Installation der Service Packs anstelle des Mixed Mode der sicherere Windows NT Authentication Mode gewählt, so wird das Passwort nicht in Klartext abgespeichert.
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Gegenmaßnahmen
- Microsoft SQL Server 7.0 Service Pack 2:
http://download.microsoft.com/download/sql70/SPpwfix/7.0/WIN98/EN-US/sqlsp.exe - Microsoft SQL Server 7.0 Service Pack 3:
http://download.microsoft.com/download/sql70/SPpwfix/7.01/WIN98/EN-US/sqlsp3.exe
Killpwd.exe) zum Löschen der Dateien mit dem Klartextpasswort angeboten.
Workaround
Wird zur Authentifzierung der Mixed Mode eingesetzt, sollte nach der Installation der Service Packs (1, 2, 3) die Dateien mit dem gespeicherten Klartextpasswort gelöscht werden.
- Entfernung folgender Dateien (Dateien nicht in den Papierkorb verschieben)
%TEMP%\sqlsp.log%WINNT%\setup.iss
Weitere Information zu diesem Thema
- Microsoft Security Bulletin (MS00-035): Frequently Asked Questions
- Q263968 FIX: Service Pack Installation May Save Standard Security Password in File
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=349