发布日期：2001-11-15
更新日期：2001-11-20

受影响系统：

NRL OPIE 2.4
NRL OPIE 2.32

描述：

---

BUGTRAQ ID: 3549

OPIE是一个使用一次性口令进行远程认证的软件包。用户使用一系列预生成的口令进行认证，
在认证开始的时候，系统会提示当前的口令序列号。对任何需要登录验证的系统来说，一个
标准的预防措施是无论口令和用户是否存在或合法，应该给出相同的提示或错误信息。

然而OPIE在对一个不存在的用户打印提示信息的时候随机地选择一个序列号，这样一来，多
次连接要求登录相同的不存在的用户名时，每次所提示的序列号是不同的。而对存在的用户
名来说，只要登录没有成功，每次提示要求输入口令时，所打印出来的口令序列号是相同的。
这样就能使攻击者有效地判断出系统中是不是存在相应的帐号。

<*来源：Joel Maslak （jmaslak@antelope.net）
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-11/0072.html
*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

对于不存在的帐号flomp,每次返回的挑战信息都不同：

        login: flomp
        otp-md5 175 at2078 ext
        Response:

        login: flomp
        otp-md5 220 at0624 ext
        Response:

对于存在的帐号flaps,每次返回的挑战信息是相同的：

        login: flaps
        otp-md5 796 qz1234 ext
        Response:
        Response:
        Login incorrect
        login: flaps
        otp-md5 796 qz1234 ext
        Response:
        Response:


建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 加强对允许登录的地址范围的控制，比如设置允许登录的IP段。

* 确保所有可登录用户有足够的口令强度。

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.inner.net/pub/opie

浏览次数：3581
严重程度：0（网友投票）