发布日期：2001-07-25
更新日期：2001-07-31

受影响系统：

Sambar Server 5.0 beta5
Sambar Server 5.0 beta4
Sambar Server 5.0 beta3
Sambar Server 5.0 beta2
Sambar Server 5.0 beta1
Sambar Server 4.4 production
Sambar Server 4.3 production
Sambar Server 4.2.1 production
Sambar Server 4.1 production

描述：

---

BUGTRAQ  ID: 3095
CVE(CAN) ID: CAN-2001-1106

Sambar Server 是一个多线程的HTTP服务器，可以用在Microsoft Windows或者Unix平台下。

Sambar Server的缺省口令机制使用一个内建的固定的密钥进行加密。本地攻击者可以轻易
地回复用户口令。

攻击者可能利用这些口令控制sambar server并实施进一步的攻击。

<* 来源：3APA3A (3APA3A@SECURITY.NNOV.RU) *>




建议：

---

临时解决方法：

在config.ini文件中设置下列选项：
Use Unix crypt = true

这将使sambar使用不可恢复的DES加密格式。

厂商补丁：


目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主
页以获取最新版本：
http://www.sambar.com/





浏览次数：3517
严重程度：0（网友投票）