漏洞发布时间：2000-5-30 11:33:00

漏 洞 描 述:

如果有权限接入SQL服务数据库，作为一个普通用户，就可以查看已经创建了DTS包的用户密码。

漏洞测试方法如下:

登陆进入SQL服务器；
打开Data Transformation Services（数据转换服务）
点击Local Packages
在右边点击任意包，选择Design Package
点击连接的对象，选择Properties
这时将会弹出一个文本的对话框，包括用户名和密码。但是密码已经被星号掩盖了。运行Revelation程序，可以从星号中还原密码。这样，已经具有用户名和密码，可以通过enterprise manager或者query analyzer工具进行连接数据库。如果用户名和密码一样，那么可能能用于ftp帐号了。

解 决 方 法: