database.sarang.net
UserID
Passwd
Database
DBMS
MySQL
PostgreSQL
Firebird
Oracle
Informix
Sybase
ㆍMS-SQL
DB2
Cache
CUBRID
LDAP
ALTIBASE
Tibero
DB 문서들
스터디
Community
공지사항
자유게시판
구인|구직
DSN 갤러리
도움주신분들
Admin
운영게시판
최근게시물
MS-SQL News 451 게시물 읽기
 News | Q&A | Columns | Tutorials | Devel | Files | Links
No. 451
SQL Server의 설치 과정에서 시스템에 암호가 남을 수 있는 문제해결
작성자
정재익(advance)
작성일
2002-07-16 23:25
조회수
13,393

SQL Server의 설치 과정에서 시스템에 암호가 남을 수 있는 문제에 대해 패치할 것을 지난 7월 10일 Microsoft TechNet에서는 권고하고 있다.

어떤 문제인가?

 

SQL서버 7.0 서비스 팩 1, 2, 혹은 3이 혼합 모드 방식을 사용해 인증을 수행하도록 구성된 컴퓨터에 설치될 때 SQL 서버 표준 보안 시스템 관리자 (SA) 계정에 대한 암호는 %TEMP%\sqlsp.log 와 %WINNT%\setup.iss 파일에 암호화되지 않은 상태로 기록된다. 파일에 대한 기본 권한은 서버에 대화형으로 로그온 하는 모든 사용자가 그 파일들을 읽을 수 있도록 설정되어 있다.

 

암호는 Windows인증과 SQL인증을 같이 사용하는 혼합 모드가 사용될때에만 기록 되며 그런 경우라도 서비스 팩을 설치할 때 관리자가 SQL서버 인증을 사용하도록 선택할 때에만 가능하다. Microsoft는 SQL서버를 구성할 때 보다 안전한 Windows NT 인증 모드로 설정할 것을 아주 오래 전부터 권고해 왔다. 이 권고 사항을 따른 고객들은 이 문제의 영향을 받지 않지만 영향을 받는 시스템에서 조차도 일반 보안 권고 사항에 의해 일반 사용자가 대화형으로 시스템에 로그온 하지 못하게 되어있다면 암호는 노출될 수 없다.

 

이런 문제의 연장선상에서 Microsoft SQL Server 2000에서도 혼합모드 방식을 사용해 인증을 수행하도록 구성한 컴퓨터의 경우 setup.iss파일에 암호화 되지 않는 정보가 기록되는 문제가 발생하고 있다.

 

해결을 위해서 다음 경로를 통해 패치를 적용한다.

 

Microsoft SQL 7, MSDE 1.0, and Microsoft SQL Server 2000:

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40205

여기에 대한 자세한 내용은 아래 경로를 이용한다.

 

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-035.asp

[Top]
No.
제목
작성자
작성일
조회
700마이크로소프트 SQL 서버 2000의 'Resolution Service' 취약성
정재익
2003-01-26
16045
537MS SQL worm (Spida) 에 의한 해킹
정재익
2002-09-25
14651
451SQL Server의 설치 과정에서 시스템에 암호가 남을 수 있는 문제해결
정재익
2002-07-16
13393
390경보! 트로이목마 스피다 급속히 확산
백록화
2002-05-22
12782
Valid XHTML 1.0!
All about the DATABASE... Copyleft 1999-2023 DSN, All rights reserved.
작업시간: 0.046초, 이곳 서비스는
	PostgreSQL v16.1로 자료를 관리합니다