涉及程序:
SQL Server 2000 Desktop Engine,MSDE 1.0
描述:
MSDE/SQL Server 2000桌面引擎默認配置空口令漏洞
詳細:
Microsoft SQL Server Desktop Engine(MSDE)是一款Microsoft用來提供數據庫管理服務的產品.
Microsoft SQL Server 2000 Desktop Engine是一款Microsoft分發的數據庫SQL Server2000共享數據引擎。
Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默認配置存在漏洞,可導致遠程攻擊者以管理員權限訪問數據庫。
Microsoft SQL Server Desktop Engine(MSDE)和SQL Server 2000 Desktop Engine默認配置其管理員密碼為空,遠程攻擊者可以利用此漏洞以管理員權限訪問數據庫。
目前已經存在利用Microsoft SQL server和一些衍生產品MSDE和SQL Server 2000 Desktop Engine的默認空密碼進行攻擊的蠕蟲。
受影響的系統:
Microsoft SQL Server 2000 Desktop Engine
Microsoft MSDE 1.0
解決方案:
Microsoft提供如下地址參考對SQL進行安全設置:
* Q322336 HOW TO: Verify and Change the System Administrator PassWord by Using
MSD
* Q321081 Visio Installation of MSDE Creates an 'sa' Account with a Blank
PassWord
臨時解決方案:
手工設置強壯的管理員口令
攻擊方法:
暫無有效攻擊代碼