发布日期：2002-01-21
更新日期：2002-01-21

受影响系统：

Lucent VitalNet 8.0
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 3784
CVE(CAN) ID: CVE-2002-0236

VitalNet是Lucent的VitalSuite SP组件中的一员。VitalNet允许用户监视、分析、管理及预测他们网络架构的性能。

VitalNet的口令验证机制存在问题，远程攻击者可以绕过验证进行访问。

VitalNet基于cookie的认证存在漏洞，攻击者只要猜到一个有效用户名就可以无需知道口令实现对服务器的访问。

<*来源：Mark Cooper
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 设置Web认证方式，确信只有合法的用户才能访问VitalNet。

厂商补丁：

Lucent
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.lucent.com/

浏览次数：3277
严重程度：0（网友投票）