安全研究
安全漏洞
Novell NetWare NDS域管理空口令漏洞
发布日期:2002-01-31
更新日期:2002-02-04
受影响系统:Novell Netware 5.1
Novell Netware 5.0SP5
Novell Netware 5.0
描述:
BUGTRAQ ID:
4012
CVE(CAN) ID:
CVE-2002-1772
Novell NetWare是Novell公司开发的一种网络服务器系统。
Novell NetWare在某种情形下允许非特权NDS用户用一个空口令访问NT域。
攻击者必须拥有一个合法NDS帐号。如果NDS树中一个NDS_ADM帐号拥有针对NT域的"Domain Admin"权限,但该帐号又非NT域帐号,此时非特权用户身份的攻击者有可能获取对NT域的完全控制。
这个问题有可能源自一次错误的用户权限配置。
<*来源:nobody (
pentester@yahoo.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-01/0392.html
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 严格控制NDS帐号。把NDS帐号NDS_ADM的"admin rights on the NT Domain"选项去掉。
厂商补丁:
Novell
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.novell.com/浏览次数:3042
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |