当前位置: 首页 > 图文教程 > 数据库 > MSSQL > SQL Server 2000桌面引擎默认配置空口令漏洞

MSSQL
最簡便的備份MySql資料庫方法
MS SQL 数据库备份和还原的几种方法
深入浅出SQL系列教程之SQL语言简介
Asp备份与恢复SQL Server
实战MSSQL 2000数据库之MSSQL Server安装
五种提高SQL Server性能的方法
SQL Server数据库备份和恢复措施
INSERT语法使用技巧一例
sql注入防范方法
操作数据库结构Sql语句
精妙SQL语句介绍
SQL Server常见连接错误
SQL如何备份并压缩备份文件?
Access数据库升迁SQLServer
SQL Server中如何计算农历
SQL SERVER Agent服务使用技巧小结
SQL SERVER使用嵌套触发器
“SQL Server不存在或访问被拒绝”问题的解决
SQL Server 管理常用的SQL和T-SQL(二)
谈SQL Server 2005中的T-SQL增强

MSSQL 中的 SQL Server 2000桌面引擎默认配置空口令漏洞


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-30   浏览: 106 ::
收藏到网摘: n/a

涉及程序:
SQL Server 2000 Desktop Engine,MSDE 1.0

描述:
MSDE/SQL Server 2000桌面引擎默认配置空口令漏洞

详细:
Microsoft SQL Server Desktop Engine(MSDE)是一款Microsoft用来提供数据库管理服
务的产品.

Microsoft SQL Server 2000 Desktop Engine是一款Microsoft分发的数据库SQL
SERVER2000共享数据引擎。

Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默
认配置存在漏洞,可导致远程攻击者以管理员权限访问数据库。

Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默
认配置其管理员密码为空,远程攻击者可以利用此漏洞以管理员权限访问数据库。

目前已经存在利用Microsoft SQL server和一些衍生产品MSDE和SQL Server 2000
Desktop Engine的默认空密码进行攻击的蠕虫。


受影响的系统:
Microsoft SQL Server 2000 Desktop Engine
Microsoft MSDE 1.0


解决方案:
Microsoft提供如下地址参考对SQL进行安全设置:

* Q322336 HOW TO: Verify and Change the System Administrator Password by Using
MSD
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q322336

* Q321081 Visio Installation of MSDE Creates an 'sa' Account with a Blank
Password
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q321081



临时解决方案:
手工设置强壮的管理员口令



攻击方法:
暂无有效攻击代码

附加信息: