SQL Server의 설치 과정에서 시스템에 암호가 남을 수 있는 문제에 대해 패치할 것을 지난 7월 10일 Microsoft TechNet에서는 권고하고 있다.
어떤 문제인가?
SQL서버 7.0 서비스 팩 1, 2, 혹은 3이 혼합 모드 방식을 사용해 인증을 수행하도록 구성된 컴퓨터에 설치될 때 SQL 서버 표준 보안 시스템 관리자 (SA) 계정에 대한 암호는 %TEMP%\sqlsp.log 와 %WINNT%\setup.iss 파일에 암호화되지 않은 상태로 기록된다. 파일에 대한 기본 권한은 서버에 대화형으로 로그온 하는 모든 사용자가 그 파일들을 읽을 수 있도록 설정되어 있다.
암호는 Windows인증과 SQL인증을 같이 사용하는 혼합 모드가 사용될때에만 기록 되며 그런 경우라도 서비스 팩을 설치할 때 관리자가 SQL서버 인증을 사용하도록 선택할 때에만 가능하다. Microsoft는 SQL서버를 구성할 때 보다 안전한 Windows NT 인증 모드로 설정할 것을 아주 오래 전부터 권고해 왔다. 이 권고 사항을 따른 고객들은 이 문제의 영향을 받지 않지만 영향을 받는 시스템에서 조차도 일반 보안 권고 사항에 의해 일반 사용자가 대화형으로 시스템에 로그온 하지 못하게 되어있다면 암호는 노출될 수 없다.
이런 문제의 연장선상에서 Microsoft SQL Server 2000에서도 혼합모드 방식을 사용해 인증을 수행하도록 구성한 컴퓨터의 경우 setup.iss파일에 암호화 되지 않는 정보가 기록되는 문제가 발생하고 있다.
해결을 위해서 다음 경로를 통해 패치를 적용한다.
Microsoft SQL 7, MSDE 1.0, and Microsoft SQL Server 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40205
여기에 대한 자세한 내용은 아래 경로를 이용한다.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-035.asp
|