发布日期：2002-01-31
更新日期：2002-02-04

受影响系统：

Novell Netware 5.1
Novell Netware 5.0SP5
Novell Netware 5.0

描述：

---

BUGTRAQ  ID: 4012
CVE(CAN) ID: CVE-2002-1772

Novell NetWare是Novell公司开发的一种网络服务器系统。

Novell NetWare在某种情形下允许非特权NDS用户用一个空口令访问NT域。

攻击者必须拥有一个合法NDS帐号。如果NDS树中一个NDS_ADM帐号拥有针对NT域的"Domain Admin"权限，但该帐号又非NT域帐号，此时非特权用户身份的攻击者有可能获取对NT域的完全控制。

这个问题有可能源自一次错误的用户权限配置。

<*来源：nobody （pentester@yahoo.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0392.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 严格控制NDS帐号。把NDS帐号NDS_ADM的"admin rights on the NT Domain"选项去掉。

厂商补丁：

Novell
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.novell.com/

浏览次数：3042
严重程度：0（网友投票）