Security Lab

Доступ к зашифрованным паролям s MS SQL Server

Дата публикации:12.07.2002
Всего просмотров:982
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: В процессе инсталляции Microsoft SQL Server сохраняет инсталляционную информацию, включая пароли, в файле setup.iss (в директориях %windir% и %sqlserverinstance%\install), который не удаляется после установки SQL сервера и к которому имеет доступ на чтение группа everyone. Информация хранится в зашифрованном виде (в Microsoft SQL Server 7.0 до sp4 в открытом), используя слабые алгоритмы шифрования.

Уязвимость обнаружена в Microsoft Data Engine 1.0, Microsoft SQL Server 7.0-2000

Ссылки: SQL Server 7 & 2000 Installation process and Service Packs write encoded passwords to a file