发布日期：2001-06-04
更新日期：2001-06-12

受影响系统：

Caldera Volution 1.0.7
Caldera Volution 1.0.6
Caldera Volution 1.0
   - S.u.S.E. Linux 7.1
   - S.u.S.E. Linux 7.0
   - S.u.S.E. Linux 6.4
   - RedHat Linux 6.2
   - RedHat Linux 6.1
   - MandrakeSoft Linux Mandrake 7.2
   - MandrakeSoft Linux Mandrake 7.1
   - MandrakeSoft Linux Mandrake 7.0
   - Caldera eDesktop 2.4
   - Caldera OpenLinux Desktop 2.3

不受影响系统：

Caldera Volution 1.0.8-47

描述：

---

BUGTRAQ  ID: 2850
CVE(CAN) ID: CAN-2001-1359

Volution是Caldera Systems公司发布的一个远程系统管理工具，它的客户程序存在漏
洞，可能使Volution管理的系统被劫持。

Volution对客户机的认证是通过LDAP服务器进行的，如果由于某种原因认证失败，那么
该客户机会在局域网中搜索Volution计算机创建进程。如果该局域网中存在一台伪造的
Volution服务器，那么该客户端就会与这台伪造的Volution服务器进行通信。

因此，这台客户机就很可能被该伪造的服务器完全控制。

<*来源：Caldera Security Advisory on June 8, 2001
  主页：http://www.caldera.com/support/security/index.html
*>


建议：

---

请立刻升级到Caldera Volution 1.0.8-47或更新版本

厂商补丁：

Caldera Volution 1.0.8-47已经修复了此安全问题：
7.i386.rpm>ftp://ftp.caldera.com/pub/updates/Volution/1.0/current/RPMS/csm-1.0.8-4
7.i386.rpm


浏览次数：4745
严重程度：0（网友投票）