发布日期：2006-05-17
更新日期：2006-05-17

受影响系统：

Sun Java System Directory Server 5.2 Patch4
Sun Java System Directory Server 5.2 Patch3
Sun Java System Directory Server 5.2 Patch2
Sun Java System Directory Server 5.2

描述：

---

BUGTRAQ  ID: 18018

Sun Java系统目录服务器是Java企业系统的一个组件，为企业管理大量用户信息提供用户管理基础架构。

Sun Java系统目录服务器5.2版本中的安全漏洞可能允许本地或远程用户通过登录到目录服务器控制台获得对目录服务器的非授权管理访问。

这个漏洞取决于目录服务器产品在初始安装时所使用的版本。如果初始安装是从受影响版本进行的，就会将错误的用户数据输入到管理服务器例程安装过程中所创建的文件中，之后将产品升级到不受影响版本也无法修复这个漏洞。

<*来源：Sun Alert Notification
  
  链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102345-1
*>

建议：

---

临时解决方法：

必须通过以下两种方式之一手动更改在第一次安装过程中所设置的管理用户口令：
  
   管理控制台：

   1. 启动控制台，以administrator或directory manager身份登录
   2. 选择“admin server”
   3. 选择“user”标签
   4. 选择“access”标签
   5. 设置新的口令
  
   或：
  
   使用命令行运行以下命令：

% <serverroot>/bin/admin/adminconfig -server <server>:<port> -user <adminuser>:<adminpassword> -setAdminPwd <new passwd>

   使用类似于“ls(1)”之类的命令检查文件的修改时间确认<serverroot>/admin-serv/config/admpw
   已被更改。

厂商补丁：

Sun
---
Sun已经为此发布了一个安全公告（Sun-Alert-102345）以及相应补丁:
Sun-Alert-102345：Security Vulnerability in Sun Java System Directory Server Related to Initial Installation Data
链接：http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102345-1

浏览次数：2734
严重程度：0（网友投票）