发布日期：2001-11-08
更新日期：2001-11-13

受影响系统：

Slashcode Slashcode 2.0

描述：

---

BUGTRAQ ID: 3519

Slashcode是一个流行的Web讨论板系统。用户可以注册一个账户并且登录到系统来发贴
子或者回复别人的贴子。用户认证是通过一个在Cookie中的会话ID来实现的。

对于一个新创建的用户，Slashcode系统初始分配一个随机的8个字符的口令。如果用户
没有更改这个初始口令，那么分配给他的那个会话ID通过暴力猜解可以被得到，这可能
会导致Slashcode系统上的一个会话被劫持。

<*来源：David Endler
  链接：http://www.idefense.com/papers.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 建议或强制用户更改口令

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://slashcode.com/

浏览次数：3408
严重程度：0（网友投票）