安全研究
安全漏洞
NetWare Enterprise Web Server 信息泄漏漏洞
发布日期:2001-08-15
更新日期:2001-08-16
受影响系统:
NetWare Enterprise Web Server 5.1
NetWare GroupWise WebAccess 5.5
- Novell NetWare 5.x
描述:
NetWare Enterprise Web Server 5.1存在一个安全漏洞,可能泄漏系统信息。
如果打开了"通过web服务器进行NDS浏览"选项,当攻击者可以访问web服务器的80端口时,
他们就可以获取一些系统信息,包括用户名、组名等等。
缺省情况下,通过访问下列文件就可以获取这些信息:
http://server/lcgi/ndsobj.nlm
缺省情况下,"通过web服务器进行NDS浏览"选项是关闭的,因此只有手工将其打开的用户
才受此问题影响。
<* 来源: Adept (
adept@anonymoushosts.net)
Simple Nomad (
thegnome@nmrc.org)
*>
建议:
临时解决方法:
如果您已经打开了这个开关,您可以按照下列方法关闭:
1. 点击"File"
2. 点击"Select Server"选择相应的服务器
3. 选择"\WEB"目录,点击OK。
4. 取消“Enable NDS browsing"复选框,点击OK.
5. 点击"Save"然后重新启动
6. 输入Web服务器口令然后点击OK
你也可以在NDS树的根中删除[Public]读取访问权限。这将会禁止任何人,包括内部的未
授权用户浏览您的内部NDS树。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://support.novell.com/
浏览次数:3472
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |