发布日期：2002-07-02
更新日期：2003-04-10

受影响系统：

Entrust Authority Security Manager 6.0
Entrust Authority Security Manager 5.0
    - Compaq Tru64 Unix 5.1
    - HP HP-UX 11.0
    - IBM AIX 4.3.3
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Professional SP2
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
    - Sun Solaris 8.0
    - Sun Solaris 7.0

不受影响系统：

Entrust Authority Security Manager 6.1

描述：

---

BUGTRAQ  ID: 7284
CVE(CAN) ID: CVE-2002-0712

Entrust Authority Security Manager用于颁发、管理及废除X.509证书。负责密钥备份及恢复、更新密钥对及支持交叉认证，并为证书库支持活动目录、X.500和LDAP目录。

Entrust Authority安全管理系统存在验证漏洞，远程攻击者可以利用这个漏洞欺骗软件的认证模型，更改主用户密码。

Entrust Authority安全管理系统的主用户(Master user)验证机制存在缺陷，允许未授权更改主用户密码。问题是由于命令行工具不需要执行GUI应用程序所需的验证过程，因此攻击者可以使用命令行工具欺骗软件信任模型。

<*来源：Keith Sollers
  *>

建议：

---

厂商补丁：

Entrust
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Entrust Upgrade Entrust Authority Security Manager 6.1
http://www.entrust.com

浏览次数：3787
严重程度：0（网友投票）