安全研究
安全漏洞
Spectrum Cash Receipting System弱密码保护漏洞
发布日期:2005-01-24
更新日期:2005-01-25
受影响系统:Spectrum Cash Receipting System 6.406.08
描述:
BUGTRAQ ID:
12235
Spectrum Cash Receipting System是客户端/服务器软件解决方案,允许离线工作并且离线验证。
Spectrum Cash Receipting System对密码文件中的密码保护不充分,本地攻击者可以利用这个漏洞恢复密码。
Spectrum Cash Receipting System本地验证需要本地应用程序的密码文件来支持。Portcullis发现密码文件中的密码是静态置换算法。密码文件机制允许攻击者在系统上枚举合法用户,并通过暴力猜测访问系统。
当在应用程序建立一个密码时,算法转换所有字符为小写并限制最大为6字符长度,在置换过程中,静态的使用a-z范围中的字符和"@+&()?\/<>"来置换包括文字与数字的字符,密码如果不属于文字与数字的字将不被置换并成为明文的一部分,如果密码短于6字节,算法将自动填补空格。
<*来源:Portcullis Security Advisory (
Omicron@portcullis-security.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=110661321718047&w=2
*>
建议:
厂商补丁:
Spectrum
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
浏览次数:2549
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |