发布日期：2000-11-23
更新日期：2000-11-23

受影响系统：

BB4 Big Brother Network Monitor 1.5d2 以及更低版本
   - Solaris 2.x
   - S.u.S.E. Linux
   - RedHat Linux
   - OpenBSD
   - NetBSD
   - MandrakeSoft Linux Mandrake
   - HP-UX
   - FreeBSD

描述：

---

Big Brother Network Monitor是BB4公司开发的一个网络监视工具包。 它存在
一个安全漏洞，可能允许远程猜测用户帐号。

问题在于Big Brother所带的CGI程序中，这些CGI程序在Big Brother Display
Server上运行。这些CGI程序用来显示网络状态信息，并可以通过Web浏览器访
问。由于没有对用户输入进行全面的检查，攻击者可以通过Display Server的
CGI来验证敏感文件以及有效用户帐号是否存在。利用这些信息，恶意用户可能
进行暴力口令猜测攻击。

有问题的CGI程序为：

bb-hist.sh
bb-histlog.sh
bb-hostsvc.sh
bb-rep.sh
bb-replog.sh
bb-ack.sh

<*来源：loki (loki@f8labs.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.victim.com/cgi-bin/bb-hist.sh?HISTFILE=/home/*

history Mon Nov 20 22:07:25 EST 2000

Error reading history file [adam]


建议：

---

厂商补丁：

NSFOCUS建议使用有问题版本软件的用户尽快升级到Big Brother 1.5d3版：

http://www.bb4.com/download.html


浏览次数：12120
严重程度：0（网友投票）