发布日期：2000-06-12
更新日期：2000-06-12

受影响系统：

Netscape SuiteSpot 3.5 Standard
Netscape SuiteSpot 3.5 Professional

描述：

---

BUGTRAQ  ID: 1579

Netscape SuiteSpot 是基于Web的服务器，用户可以通过Web表单配置Netscape SuiteSpot 服务器。

Netscape SuiteSpot存在一个配置不当导致的安全问题，可能导致管理员权限遭到威胁。

当用户第一次安装SuiteSpot服务器时同时安装管理服务器。对于远程登录，通过要求提示输入管理服务器的口令来进行身份验证。口令文件保存在SuiteSpot服务器所在的目录下面：
http://target/admin-serv/config/admpw
该文件对于所有本地用户来是可读写的。这就导致了一个安全问题，入侵者可能会设法读取或修改该文件。Admpwd文件是“用户：口令”格式，有一个加密的口令字段，入侵者可以对其进行暴力破解。Netscape企业版的手册中关于管理服务器的描述如下：推荐用户设置Admpwd文件的属性设为写保护（默认没有设置写保护）。

<*来源：Securax
  
  链接：http://www.syntex-security.com/advisories/scx-sa-04.txt
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 将Admpwd文件权限设置为仅必要的用户可访问。

厂商补丁：

Netscape
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.netscape.com

浏览次数：5697
严重程度：0（网友投票）