安全研究

安全漏洞
Nortel Networks Contivity VPN客户端信息泄露漏洞

发布日期:2004-11-10
更新日期:2004-11-11

受影响系统:
Nortel Networks Contivity VPN Client 4.91
不受影响系统:
Nortel Networks Contivity VPN Client for Windows V5.01_030
描述:
Nortel Networks Contivity VPN Client可提供加密和验证的VPN连接。

Nortel Networks Contivity VPN Client对验证错误信息处理不充分,远程攻击者可以利用这个漏洞获得用户敏感信息。

如果验证时提供合法用户名和不合法密码,VPN客户端会显示"Login Failure due to: authentication failure";而如果提供不合法用户名,VPN客户端会显示"Login Failed: Please verify the entered login information is correct"。利用这些错误信息可导致猜测用户名,获得敏感信息。

<*来源:K. K. Mookhey (cto@nii.co.in
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110011709410920&w=2
*>

建议:
厂商补丁:

Nortel Networks
---------------
Contivity VPN Client for Windows V5.01_030已经修正此漏洞,可从如下地址获得:

http://www.nortelnetworks.com/products/01/contivity/multi_os/

浏览次数:3832
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障