发布日期：2001-02-01
更新日期：2001-02-01

受影响系统：

    WatchGuard FireboxII Firmware 4.5
    WatchGuard FireboxII Firmware 4.4
    WatchGuard FireboxII Firmware 4.3
    WatchGuard FireboxII Firmware 4.2
    WatchGuard FireboxII Firmware 4.1
    WatchGuard FireboxII Firmware 4.0

描述：

---

FireboxII 是 WatchGuard Technologies 开发的防火墙软件包。

firmware存在一个问题，允许用于只读权限的远程用户获取更高权限。一个拥有只读
权限的远程用户利用管理工具中包含的专有库建立SSL连接，执行MPF命令，此时可以
从内存中获取二进制文件/var/lib/mpf/keys.gz的映像，该映像包含了只读口令和读
写口令。远程用户可以利用读写口令重新建立SSL连接，修改配置，访问受限资源，
所在网络存在遭受拒绝服务攻击的可能。

<* 来源：Philip J Lewis (Phil@SecureNetworking.co.uk) *>



建议：

---

厂商补丁：

WatchGuard公司已经提供了补丁程序，升级到适当版本即可:
WatchGuard hotfix 010107
https://www.watchguard.com/esupport.htm


浏览次数：5134
严重程度：0（网友投票）