アプリケーションの PW がコンポーネント カタログに保存される

この記事は、以前は次の ID で公開されていました: JP260946
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
アプリケーションの作成中にアプリケーションのパスワードを設定したり、または既存のアプリケーションのパスワードを変更すると、コンポーネント負荷分散 (CLB) 登録データベースにパスワードがクリア テキストで書き込まれます。パスワードは書き込まれるべきではありませんが、レジストリのセキュリティで保護された場所に保存されます。

パスワードがコンポーネント カタログとセキュリティで保護された保存場所に誤って書き込まれると、システム上のすべてのユーザーが COM+ アプリケーションのパスワードを読み取ることができるようになります。
原因
CLB 登録ファイルのファイル アクセス権では、すべてのユーザーに読み取りアクセス権を許可しています。すべての COM+ アプリケーションは、起動時にこのデータベースから情報を読み込みます。ソースの事前スキャンにより、アプリケーションの起動時にアプリケーション ID パスワードがメモリに読み込まれることがわかりますが、これは偶発的なもので、読み込まれたパスワードは使用されません。
状況
弊社ではこの問題を、この資料の冒頭に記載した Microsoft 製品の問題として認識しており、現在調査中です。詳細がわかり次第、サポート技術情報にてお知らせする予定です。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 260946 (最終更新日 2000-10-04) をもとに作成したものです。

find hack
プロパティ

文書番号:260946 - 最終更新日: 02/14/2014 09:55:32 - リビジョン: 4.0

  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbbug kbfix kbenv win2000presp1fix KB260946
フィードバック