当前位置: 首页 > 图文教程 > 数据库 > MSSQL > SQL Server 2000桌面引擎默认配置空口令漏洞

MSSQL
开源MySQL公司停止提供企业版源代码tar包
细化解析:MySQL+Webmin轻松创建数据库
用mysql做站点时怎样记录未知错误的发生
SQL数据库操作类
如何利用SQL Server数据库快照形成报表
SQL Server中应当怎样得到自动编号字段
SQL Server数据库连接中常见的错误分析
详细讲解SQL Server数据库的文件恢复技术
轻松掌握SQL Server数据库的六个实用技巧
SQL Server数据库涉及到的数据仓库概念
深入了解SQL Server 2008 商业智能平台
剖析SQL Server 事务日志的收缩和截断
如何在不同版本的SQL Server中存储数据
怎样缩小SQL Server数据库的日志文件
SQL Server中两种修改对象所有者的方法
轻松掌握SQL Server存储过程的命名标准
怎样从旧版本SQL Server中重新存储数据
快速掌握如何使用SQL Server来过滤数据
教你快速掌握两个SQL Server的维护技巧
有效地使用 SQL事件探查器的提示和技巧

MSSQL 中的 SQL Server 2000桌面引擎默认配置空口令漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 177 ::
收藏到网摘: n/a

涉及程序:
SQL Server 2000 Desktop Engine,MSDE 1.0

描述:
MSDE/SQL Server 2000桌面引擎默认配置空口令漏洞

详细:
Microsoft SQL Server Desktop Engine(MSDE)是一款Microsoft用来提供数据库管理服
务的产品.

Microsoft SQL Server 2000 Desktop Engine是一款Microsoft分发的数据库SQL
SERVER2000共享数据引擎。

Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默
认配置存在漏洞,可导致远程攻击者以管理员权限访问数据库。

Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默
认配置其管理员密码为空,远程攻击者可以利用此漏洞以管理员权限访问数据库。

目前已经存在利用Microsoft SQL server和一些衍生产品MSDE和SQL Server 2000
Desktop Engine的默认空密码进行攻击的蠕虫。


受影响的系统:
Microsoft SQL Server 2000 Desktop Engine
Microsoft MSDE 1.0


解决方案:
Microsoft提供如下地址参考对SQL进行安全设置:

* Q322336 HOW TO: Verify and Change the System Administrator Password by Using
MSD
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q322336

* Q321081 Visio Installation of MSDE Creates an 'sa' Account with a Blank
Password
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q321081



临时解决方案:
手工设置强壮的管理员口令



攻击方法:
暂无有效攻击代码

附加信息: