发布日期：2002-03-14
更新日期：2002-03-14

受影响系统：

Oblix NetPoint 5.2
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Sun Solaris 8.0
    - Sun Solaris 7.0

描述：

---

BUGTRAQ  ID: 4288
CVE(CAN) ID: CVE-2002-0453

Oblix NetPoint是一款为WEB服务提供访问控制管理的程序，设计工作于Windows和Solaris系统平台上。

Oblix NetPoint存在设计错误，可导致使用了帐户锁定策略的功能被绕过。

Oblix NetPoint可以配置为当一用户如果多次尝试使用非法密码登陆，此用户帐户可以被临时冻结一段时间，此时间依据配置数值，但是，在锁定时期过后，此帐户的非法登陆锁定功能将失效，此帐户可以多次登陆而不被锁定，只有帐户再次成功登陆以后才会起用此非法登陆锁定功能。所以攻击者可以通过帐户进行暴力攻击来猜测密码。

<*来源：Bill Canning （william.canning@ey.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0176.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。

厂商补丁：

Oblix
-----
Reportedly Oblix已经发布补丁程序，请使用EMAIL和它们联系：

Oblix Customer Support <support@oblix.com>.
http://www.oblix.com/products/netpoint/index.html

浏览次数：3800
严重程度：0（网友投票）