NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

Hosting Controller用户名信息泄露漏洞

发布日期：2002-01-26
更新日期：2002-01-31

受影响系统：

Hosting Controller Hosting Controller 1.1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Hosting Controller Hosting Controller 1.3
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Hosting Controller Hosting Controller 1.4.1
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
Hosting Controller Hosting Controller 1.4b
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

BUGTRAQ  ID: 3971
CVE(CAN) ID: CVE-2002-0212

Hosting Controller是一个Windows平台下的一体化的虚拟主机管理软件。它可以使所有网站管理活动自动化，并且给予每个Web托管的用户所需要的权限，以管理他们自己的Web网站。

Hosting Controller设计上存在问题，可能使远程攻击者得到服务相关的用户信息。

Hosting Controller的登录控制存在漏洞，当远程攻击者尝试登录时，如果他输入了一个无效的用户名，服务器返回的信息是“The user name could not be found”，如果他输入的是有效的用户名和错误的口令时，服务器返回的信息是“The user has entered an invalid password”，由此可见攻击者利用回应信息的不同可以暴力猜测服务的有效用户名，因而用户可能得到主机的相关用户信息。

<*来源：Ahmet Sabri ALPER （s_alper@hotmail.com）

  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0339.html
*>

建议：

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

没有合适的临时解决方法。

厂商补丁：

Hosting Controller
------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.hostingcontroller.com/english/index.html

浏览次数：3159
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客