Return-Path: MS_Security@mspj.co.jp From: MS_Security@mspj.co.jp Message-Id: <200006270731.QAA11827@rins.st.ryukoku.ac.jp> Date: Tue, 27 Jun 2000 16:31:49 +0900 To: kjm@rins.ryukoku.ac.jp Subject: Microsoft(R) Security Bulletin Japanese Edition (MSKK2000-68) MIME-Version: 1.0 X-Mail-Agent: BSMTP DLL Jul 10 1999 by Tatsuo Baba Content-Type: text/plain; charset=ISO-2022-JP 以下は、マイクロソフト株式会社が発行するセキュリティ情報です。 ********************************************************* Microsoft(R) Security Bulletin Japanese Edition (MSKK2000-68) -------------------------------------- 「SQL Server 7.0 Service Pack のパスワード」脆弱性に対する修正プログラムをリリース 概要: 2000年6月15日、Microsoftは Microsoft SQL Server 7.0 Ser vice Packs 1 と 2 のインストール ルーチンにおけるセキュ リティの脆弱性を排除するパッチ リリースをアナウンスしま した。非推奨モードが設定されたマシンで実行した場合、サー バにログオンできるユーザーなら誰でも読み出すことのできる ログファイルに管理者パスワードが記録されます。 2000年6月27日、最初の報告にあった同一条件下でパスワード が別のファイルにも記録されてしまうため、これを更新しまし た。新しいバージョンのパッチはパスワードがどちらのファイ ルにも記録されないようにするものです。 この脆弱性に関してよく寄せられる質問と修正プログラムは、 次のサイトをご覧ください。 http://www.microsoft.com/technet/security/bulletin/fq00-035.asp(英語サイト) 日本語版KB j054179は、後日更新される予定です。 http://www.microsoft.com/JAPAN/support/kb/articles/J054/1/79.htm 問題: 混合モードを使って認証を行うように設定されたマシンに SQ L Server 7.0 Service Packs 1 や 2 をインストールした場合 、SQL Server 標準セキュリティのシステム管理者(SA)のパ スワードはファイル %TEMP%\sqlsp.log と %WINNT%\setup.is s に通常のテキストとして記録されます。そのファイルに対す るデフォルトの権限は、対話的にサーバにログオンできるユー ザなら誰にでもそれを読み出すことができるようになっていま す。 パスワードが記録されるのは、混合モードが使用されていて、 サービス パックをインストールするときに SQL Server 認証 の使用を管理者が選択した場合だけです。弊社ではこれまでず っと長い間、SQL サーバ設定として、より安全な Windows NT 認証モードを推奨してきました。これに従っていただいたお 客様はこの問題の影響を受けません。影響のあるマシンでも、 通常のセキュリティ関する推奨事項に従って、普通のユーザが 対話的にマシンにログオンできないようにしておけば、パスワ ードが読み出されるような危険はありません。 影響を受けるソフトウェア: - Microsoft SQL Server 7.0 Service Pack 1 と 2 修正プログラムの入手方法: - Microsoft SQL Server 7.0 Service Pack 2: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=21546 ********************************************************* 本メールはマイクロソフト プロダクト セキュリティ 警告サービス 日本語版 のご購読者登録に基づいて送信されたものです。 本サービスのご購読を中止するには、 MS_Security@mspj.co.jp に件名(Subject)を「Delete」としたメールを 送信してください。(本文には何も記入しないでください。) 本サービスに関する情報は http://www.asia.microsoft.com/japan/security/bulletin.htm でご覧いただけます。 また、マイクロソフト製品のセキュリティ関連の情報は http://www.asia.microsoft.com/japan/security/ でご覧いただけます。