发布日期：2000-08-18
更新日期：2000-08-18

受影响系统：

Computer Associates eTrust Access Control 5.0-SP1
Computer Associates eTrust Access Control 5.0
   - Solaris 8
   - Solaris 7
   - Solaris 2.6
   - IRIX 6.x
   - SCO Unixware 2.1
   - IBM AIX 4.x
   - HP-UX 11.0
   - HP-UX 10.20
   - HP-UX 10.10
   - HP-UX 10.0.1
   - Digital UNIX 4.0

Computer Associates eTrust Access Control 4.1-SP1
Computer Associates eTrust Access Control 4.1
   - Microsoft Windows NT 4.0

不受影响系统：

描述：

---

CA公司的eTrust Access Control是一个为操作系统提供增强访问控制的安全产品。
它缺省安装的时候没有打开"强加密机制"选项，它使用一个安装光盘上的缺省密钥。

因此，攻击者只要在自己的机器上执行一次Access Control的缺省安装，账号名与
要攻击的机器上的安装账号同名，就可以远程连结要攻击主机的数据库，并控制该
主机了。

<*来源：Sanjay Venkat (sanjay@itradefair.com) *>








建议：

---

CA建议在安装时使用强加密选项，这样Access Control会使用另外的密钥而不是缺省密钥



浏览次数：11894
严重程度：0（网友投票）