Microsoft anuncia la publicación de un parche que elimina una vulnerabilidad en el DTS (Data Transformation Service) que se ofrece con SQL 7.0, por la cual, si este componente se configura inadecuadamente puede dar lugar a la que las passwords se vean comprometidas.
Los paquetes del servicio de transformación de datos (DTS) en SQL /.0 permiten a administradores de la base de datos crear un paquete que realice una acción concreta en una base de datos a intervalos regulares. Como parte del proceso de creación del paquete DTS, el administrador debe proporcionar el nombre de usuario y password bajo el cual se realizará la acción. Sin embargo, dicha password puede recuperarse mediante un programa que interrogue el cuadro de diálogo de propiedades del paquete.
Esta vulnerabilidad sólo ocurre si el sistema no sigue las prácticas de seguridad recomendadas. En primer lugar, el creador del paquete DTS deberá facilitar un nombre de usuario y password en vez de emplear la autenticaci¢n Windows NT, adem s el paquete DTS deber crearse sin restringir los usuarios que pueden editarlo y por oltimo el administrador del servidor SQL debe permitir el acceso a la base de datos a la cuenta Guest (invitado).
El problema radica en que si la password se almacena en el paquete DTS al mostrar la p gina de propiedades queda marcada con asteriscos. Pero si un usuario malicioso puede acceder a esta p gina de propiedades, a trav’s de un programa puede recuperar en texto plano la password almacenada.
M s informaci¢n:
Bolet¡n de seguridad de Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms00-041.asp
Preguntas y respuestas m s frecuentes sobre la vulnerabilidad:
http://www.microsoft.com/technet/security/bulletin/fq00-041.asp
Localizaci¢n del parche:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=21905
Antonio Ropero
antonior@hispasec.com
