安全研究
安全漏洞
Netscape SuiteSpot管理员口令文件权限设置不当漏洞
发布日期:2000-06-12
更新日期:2000-06-12
受影响系统:Netscape SuiteSpot 3.5 Standard
Netscape SuiteSpot 3.5 Professional
描述:
BUGTRAQ ID:
1579
Netscape SuiteSpot 是基于Web的服务器,用户可以通过Web表单配置Netscape SuiteSpot 服务器。
Netscape SuiteSpot存在一个配置不当导致的安全问题,可能导致管理员权限遭到威胁。
当用户第一次安装SuiteSpot服务器时同时安装管理服务器。对于远程登录,通过要求提示输入管理服务器的口令来进行身份验证。口令文件保存在SuiteSpot服务器所在的目录下面:
http://target/admin-serv/config/admpw
该文件对于所有本地用户来是可读写的。这就导致了一个安全问题,入侵者可能会设法读取或修改该文件。Admpwd文件是“用户:口令”格式,有一个加密的口令字段,入侵者可以对其进行暴力破解。Netscape企业版的手册中关于管理服务器的描述如下:推荐用户设置Admpwd文件的属性设为写保护(默认没有设置写保护)。
<*来源:Securax
链接:
http://www.syntex-security.com/advisories/scx-sa-04.txt
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 将Admpwd文件权限设置为仅必要的用户可访问。
厂商补丁:
Netscape
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.netscape.com浏览次数:5709
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |