发布日期：2003-03-07
更新日期：2003-03-11

受影响系统：

DBTools DBManager Professional 2.0.1

描述：

---

BUGTRAQ  ID: 7040

DBManager Professional是功能强大的MySQL和PostgreSQL管理高级应用程序。

DBTools DBManager Pro不安全存储敏感信息，本地攻击者可以利用这个漏洞获得MySQL和PostgreSQL连接信息，如DB主机，用户名和密码等。

DBTools DBManager Pro把连接信息存储在catalog.mdb(一般位于程序文件夹中的"DATA"目录中，如C:\Program Files\DBTools Software\DBManager Professional\DATA)的sys_servers表中，这个表包含server_id、server_name、 server_type、host、port、
user、password各字段，由于这些字段没有被加密，并且catalog.mdb默认可以被所有用户打开，因此本地攻击者可以获得这些敏感信息而进一步对系统进行攻击。

<*来源：Ignacio Vazquez （n.bugtraq@icana.org.ar）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104705581427230&w=2
*>

建议：

---

厂商补丁：

DBTools
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.dbtools.com.br/EN/dbmanagerpro.php

浏览次数：3066
严重程度：0（网友投票）