当前位置: 首页 > 图文教程 > 数据库 > MSSQL > SQL Server 2000桌面引擎默认配置空口令漏洞

MSSQL
获取MSSQL数据字典的SQL语句
Microsoft Search 服务无法启动 解决办法.
找出所有非xml索引并重新整理的sql
SQL Server提示"选定的用户拥有对象,所以无法除去该用户”
SQL Server"错误 21002: [SQL-DMO]用户 * 已经存在问题解决
删除重复记录,并且剩下一条
select * from sp_who的解决方案
Sql语句与存储过程查询数据的性能测试实现代码
MSSQL 游标使用 心得
SQL 时间类型的模糊查询
mssql 指定字段编号sql语句
sql server中的decimal或者numeric的精度问题
sql 数据库还原图文教程
存储过程解密(破解函数,过程,触发器,视图.仅限于SQLSERVER2000)
MSSQL SERVER中的BETWEEN AND的使用
SQL Server约束增强的两点建议
SQL Server 更改DB的Collation
Oracle 10g各个帐号的访问权限、登录路径、监控状态命令查询等等
SQL Server的复制功能
sql 普通行列转换

MSSQL 中的 SQL Server 2000桌面引擎默认配置空口令漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 121 ::
收藏到网摘: n/a

涉及程序:
SQL Server 2000 Desktop Engine,MSDE 1.0

描述:
MSDE/SQL Server 2000桌面引擎默认配置空口令漏洞

详细:
Microsoft SQL Server Desktop Engine(MSDE)是一款Microsoft用来提供数据库管理服
务的产品.

Microsoft SQL Server 2000 Desktop Engine是一款Microsoft分发的数据库SQL
SERVER2000共享数据引擎。

Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默
认配置存在漏洞,可导致远程攻击者以管理员权限访问数据库。

Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默
认配置其管理员密码为空,远程攻击者可以利用此漏洞以管理员权限访问数据库。

目前已经存在利用Microsoft SQL server和一些衍生产品MSDE和SQL Server 2000
Desktop Engine的默认空密码进行攻击的蠕虫。


受影响的系统:
Microsoft SQL Server 2000 Desktop Engine
Microsoft MSDE 1.0


解决方案:
Microsoft提供如下地址参考对SQL进行安全设置:

* Q322336 HOW TO: Verify and Change the System Administrator Password by Using
MSD
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q322336

* Q321081 Visio Installation of MSDE Creates an 'sa' Account with a Blank
Password
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q321081



临时解决方案:
手工设置强壮的管理员口令



攻击方法:
暂无有效攻击代码

附加信息: