VULHUB ™

Microsoft SQL Server 7.0/2000是微软公司开发和维护的商业SQL数据库系统。 Microsoft SQL Server安装过程中存在漏洞，本地攻击者可能利用此问题得到访问数据库的认证信息。 在MS-SQL Server 7.0/2000(包括MSDE 1.0)的安装或打服务补丁过程中，相关的信息包括口令会被收集并存放在主机上的一个名为\"setup.iss\"的文件中。在SQL Server 7.0和MSDE 1.0中此文件位于\\%windir\\%目录(默认为C：＼Winnt)，在SQL Server 2000中此文件位于SQL安装目录的install子目录下(默认为：C：＼Program Files＼Microsoft SQL Server＼mssql＼install)。此文件在程序安装完成以后并不删除，而且任何人可读。在MS-SQL Server 7.0 SP4以前的版本中，口令信息是以明文的形式存放的，在SP4版本以后采用了很弱的加密方式进行存放。本地攻击者可能通过读取此文件得到数据库访问的认证信息。

Microsoft SQL Server 7.0/2000是微软公司开发和维护的商业SQL数据库系统。 Microsoft SQL Server安装过程中存在漏洞，本地攻击者可能利用此问题得到访问数据库的认证信息。 在MS-SQL Server 7.0/2000(包括MSDE 1.0)的安装或打服务补丁过程中，相关的信息包括口令会被收集并存放在主机上的一个名为\"setup.iss\"的文件中。在SQL Server 7.0和MSDE 1.0中此文件位于\\%windir\\%目录(默认为C：＼Winnt)，在SQL Server 2000中此文件位于SQL安装目录的install子目录下(默认为：C：＼Program Files＼Microsoft SQL Server＼mssql＼install)。此文件在程序安装完成以后并不删除，而且任何人可读。在MS-SQL Server 7.0 SP4以前的版本中，口令信息是以明文的形式存放的，在SP4版本以后采用了很弱的加密方式进行存放。本地攻击者可能通过读取此文件得到数据库访问的认证信息。