发布日期：2004-04-05
更新日期：2004-04-08

受影响系统：

Citrix MetaFrame Password Manager 2.0
    - Microsoft Windows XP Professional
    - Microsoft Windows XP Home
    - Microsoft Windows 2000 SP3

描述：

---

CVE(CAN) ID: CVE-2004-1902

Citrix MetaFrame Password Manager提供企业级的单点登录(single sign-on )功能，以访问基于 Windows 、Web 以及所有在服务器上运行的应用程序。

Citrix MetaFrame密码管理器在部分配置下没有对存储密码进行加密，本地攻击者可以利用这个漏洞获得敏感信息。

产品通过把用户密码存储在加密数据库中，并自动提供应用程序所需的加密信息。加密验证信息一般使用3DES算法加密存储在本地和指定的中央存储区。如果管理员不注意地错误的配置Citrix MetaFrame密码管理器代理指向一个中央信息存储区，那么存储在本地的加密验证信息将不会加密就存储，本地攻击者可以利用这个漏洞获得验证的信息。

<*来源：Foundstone Labs （labs@foundstone.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=108127948610311&w=2
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 本地信息存储区有Windows文件ACLs限制用户访问。

厂商补丁：

Citrix
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://support.citrix.com/servlet/KbServlet/download/4062-102-10915/MPME100W001.msi

浏览次数：3349
严重程度：0（网友投票）