发布日期：2001-12-15
更新日期：2001-12-24

受影响系统：

Novell Groupwise 6.0
Novell Groupwise Enhancement Pack 5.5

描述：

---

BUGTRAQ  ID: 3697
CVE(CAN) ID: CVE-2001-1195

Novell Groupwise Servlet Gateway是一个使Java servlet运行于NetWare平台上的产品，它使用Novell JVM for NetWare v1.1.7b和NetWare Enterprise Web服务器。

Novell Groupwise Servlet Gateway默认的访问控制存在配置错误，可以使远程攻击者得到Servlet管理界面的访问权限。

Servlet管理界面默认的用户名和口令分别是“servlet”和“manager”，远程攻击者可以通过输入默认的用户名和口令得到对管理界面的访问。

<*来源：Adam Gray （AGray@novacoast.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0166.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对管理界面的目录设置HTTP认证，只允许授权用户访问。

* 修改SYS:\JAVA\SERVLETS\SERVLET.PROPERTIES文件：

找到如下所示的段：

# ServletManager servlet
servlet.ServletManager.code=com.novell.application.ServletGateway.ServletManager

servlet.ServletManager.initArgs=datamethod=POST,user=servlet,password=manager,bgcolor

#c0c0c0
servlet.ServletManager.preload=true

修改“user=”后的用户名和“password=”后的口令。

厂商补丁：

Novell
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://support.novell.com/

浏览次数：3155
严重程度：0（网友投票）