发布日期：2002-05-06
更新日期：2002-05-10

受影响系统：

PascaL Michaud ASP Client Check 1.5
PascaL Michaud ASP Client Check 1.3

不受影响系统：

PascaL Michaud ASP Client Check 1.6

描述：

---

BUGTRAQ  ID: 4676
CVE(CAN) ID: CVE-2002-1699

Pascal Michaud's ASP Client Check是一款设计为任意WEB服务提供用户名/密码验证的ASP脚本。

Pascal Michaud's ASP Client Check对用户提交给密码字段的数据缺少正确充分过滤，可导致远程攻击者无需密码访问系统。

由于对用户提交给验证机制的SQL查询的数据缺少正确的检查和判断，攻击者可以使用不正常的输入修改查询，导致攻击者可以在知道用户名的情况下无需密码访问受保护系统，包括管理员权限。

<*来源：Derek Hinch （derek@sybodek.com）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改程序，严格过滤用户输入数据。

厂商补丁：

PascaL Michaud
--------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

PascaL Michaud Upgrade Aspcc16.zip
http://www.instagib.com/pm/aspcc/Aspcc16.zip

浏览次数：2916
严重程度：0（网友投票）