| エンタープライズ:ニュース | 2002/07/12 21:26:00 更新 |
SQL Server 2000用累積パッチ公開、できるだけ速やかな適用を
マイクロソフトは7月11日、SQL Serverのインストールプロセスにおいて、システムにパスワードが残ってしまうという欠陥があったことを明らかにし、修正用プログラムを公開した。また、バッファオーバーフローなど3つの問題に対応したSQL Server用の累積パッチもリリースしている。
マイクロソフトは7月11日、SQL Serverのインストールプロセスにおいて、システムにパスワードが残ってしまうという欠陥があったことを明らかにし、修正用プログラムを公開した。
同社はさらに、SQL Server 2000用の累積パッチもリリースしている。これまで公開されてきた問題に加え、新たにバッファオーバーフローなど3つの問題への対処も含んだものだ。深刻性は「中」というランクだが、できるだけ速やかに適用しておくのが望ましい。
まず1つめの、システムにパスワードが残ってしまうという問題(MS02-035)だが、影響があるのはMicrosoft Data Engine 1.0(MSDE 1.0)を含んだSQL Server 7.0、もしくはSQL Server 2000だ。
MSDE 1.0を含んだSQL Server 7.0やSQL Server 2000、あるいはこれらのService Pack(SP)をインストールすると、インストールプロセスが用いる情報をまとめた「setup.iss」というファイルが作成され、システムに保存される。このファイルは元々、インストール作業の自動化を目的としたものだが、この中、あるいはインストールの結果を示すログファイルの中に、SQL Server管理者のパスワードが含まれたままになってしまう場合があるという。
同社によれば、SQL Server 7.0 SP4やSQL Server 2000 SP1/2では、パスワードは暗号化されて保存されるというが、その強度は低い。さらに問題なのはSQL Server 7.0でSP4以前の場合で、パスワード情報はクリアテキストのままだという。つまり、システムに対話的ログオンが行える必要があるとはいえ、その気になれば攻撃者が容易にSQL Serverの管理者パスワードを取得できてしまう。
マイクロソフトの情報によると、setup.issやログファイルに保存されたパスワードはあくまでインストール時のもの。インストール後に変更された新しいパスワードは記録されない。したがって、SPの適用と定期的なパスワードの変更というセキュリティ対策の基本を踏まえて運用していれば、それほど恐れる必要はないだろう。逆に言えば、SQL Server 7.0をインストールしたまま、SPも当てずにほったらかしにしてある場合の危険性は高い。
対応策だが、マイクロソフトのサイトで修正プログラムの「KillPwd ユーティリティ」が提供されているため、これをダウンロードし、実行すればいい。
もう1つ重要なのは、SQL Server 2000およびMicrosoft SQL Server Desktop Engine(MSDE) 2000用に公開された累積的な修正プログラム(MS02-034)だ。
この累積パッチには、MS02-020も含め、これまでSQL Server 2000向けに公開されたパッチすべてが含まれている。ただし上記のパスワード問題は対象外だ。
MS02-034ではさらに、「SQL Serverの資格情報を暗号化するために用いられるプロシージャに存在するバッファオーバーラン」「SQL Server上のテーブルへのデータ一括挿入に関するプロシージャに存在するバッファオーバーラン」「SQL Server サービスアカウント情報が保存されているレジストリキーのアクセス権限の問題」という3つのセキュリティホールも修正される。これらを悪用すれば、データベースやサーバに対するコントロールを取得され、攻撃者が選択したコードが実行される可能性があるという。
こちらも日本語版パッチが同社サイトからダウンロードできるため、速やかに入手し、適用しておくべきだ。ただし事前にSP 2の適用が必要になる。
関連リンク
MS02-035 日本語情報MS02-035 詳細情報(英語)MS02-035修正プログラム(KillPwd ユーティリティ)MS02-034 日本語情報MS02-034 詳細情報(英語)MS02-034累積パッチ(Japanese : Download 8.00.0650_jpn.exe now)[ITmedia]
