Microsoft anuncia la publicación de un parche que elimina una
vulnerabilidad en el DTS (Data Transformation Service) que se ofrece
con SQL 7.0, por la cual, si este componente se configura
inadecuadamente puede dar lugar a la que las passwords se vean
comprometidas.
Los paquetes del servicio de transformación de datos (DTS) en SQL /.0
permiten a administradores de la base de datos crear un paquete que
realice una acción concreta en una base de datos a intervalos
regulares. Como parte del proceso de creación del paquete DTS, el
administrador debe proporcionar el nombre de usuario y password bajo
el cual se realizará la acción. Sin embargo, dicha password puede
recuperarse mediante un programa que interrogue el cuadro de diálogo
de propiedades del paquete.
Esta vulnerabilidad sólo ocurre si el sistema no sigue las prácticas
de seguridad recomendadas. En primer lugar, el creador del paquete DTS
deberá facilitar un nombre de usuario y password en vez de emplear la
autenticación Windows NT, además el paquete DTS deberá crearse sin
restringir los usuarios que pueden editarlo y por último el
administrador del servidor SQL debe permitir el acceso a la base de
datos a la cuenta Guest (invitado).
El problema radica en que si la password se almacena en el paquete DTS
al mostrar la página de propiedades queda marcada con asteriscos. Pero
si un usuario malicioso puede acceder a esta página de propiedades, a
través de un programa puede recuperar en texto plano la password
almacenada.
Más información:
Boletín de seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms00-041.asp
Preguntas y respuestas más frecuentes sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-041.asp
Localización del parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=21905
antonior@hispasec.com
Deja una respuesta