安全研究
安全漏洞
Entrust Authority Security Manager多个验证欺骗漏洞
发布日期:2002-07-02
更新日期:2003-04-10
受影响系统:Entrust Authority Security Manager 6.0
Entrust Authority Security Manager 5.0
- Compaq Tru64 Unix 5.1
- HP HP-UX 11.0
- IBM AIX 4.3.3
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows NT 4.0 SP6
- Microsoft Windows NT 4.0 SP5
- Microsoft Windows NT 4.0 SP4
- Microsoft Windows NT 4.0 SP3
- Microsoft Windows NT 4.0 SP2
- Microsoft Windows NT 4.0 SP1
- Microsoft Windows NT 4.0
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Sun Solaris 8.0
- Sun Solaris 7.0
不受影响系统:Entrust Authority Security Manager 6.1
描述:
BUGTRAQ ID:
7284
CVE(CAN) ID:
CVE-2002-0712
Entrust Authority Security Manager用于颁发、管理及废除X.509证书。负责密钥备份及恢复、更新密钥对及支持交叉认证,并为证书库支持活动目录、X.500和LDAP目录。
Entrust Authority安全管理系统存在验证漏洞,远程攻击者可以利用这个漏洞欺骗软件的认证模型,更改主用户密码。
Entrust Authority安全管理系统的主用户(Master user)验证机制存在缺陷,允许未授权更改主用户密码。问题是由于命令行工具不需要执行GUI应用程序所需的验证过程,因此攻击者可以使用命令行工具欺骗软件信任模型。
<*来源:Keith Sollers
*>
建议:
厂商补丁:
Entrust
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Entrust Upgrade Entrust Authority Security Manager 6.1
http://www.entrust.com浏览次数:3808
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |