安全研究

安全漏洞
Entrust Authority Security Manager多个验证欺骗漏洞

发布日期:2002-07-02
更新日期:2003-04-10

受影响系统:
Entrust Authority Security Manager 6.0
Entrust Authority Security Manager 5.0
    - Compaq Tru64 Unix 5.1
    - HP HP-UX 11.0
    - IBM AIX 4.3.3
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Sun Solaris 8.0
    - Sun Solaris 7.0
不受影响系统:
Entrust Authority Security Manager 6.1
描述:
BUGTRAQ  ID: 7284
CVE(CAN) ID: CVE-2002-0712

Entrust Authority Security Manager用于颁发、管理及废除X.509证书。负责密钥备份及恢复、更新密钥对及支持交叉认证,并为证书库支持活动目录、X.500和LDAP目录。

Entrust Authority安全管理系统存在验证漏洞,远程攻击者可以利用这个漏洞欺骗软件的认证模型,更改主用户密码。

Entrust Authority安全管理系统的主用户(Master user)验证机制存在缺陷,允许未授权更改主用户密码。问题是由于命令行工具不需要执行GUI应用程序所需的验证过程,因此攻击者可以使用命令行工具欺骗软件信任模型。

<*来源:Keith Sollers
  *>

建议:
厂商补丁:

Entrust
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

Entrust Upgrade Entrust Authority Security Manager 6.1
http://www.entrust.com

浏览次数:3808
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障