QNX crypt()加密函数漏洞发布时间:2000-04-15 更新时间:2000-04-15 严重程度:高 威胁程度:口令恢复 错误类型:设计错误 利用方式:服务器模式 受影响系统 Misc详细描述 存在ONX中的crypt(3)函数由于设计错误可以是密码从 hashes解码出来。在大多数UNXI变中,crypt(3)是一种类似于hashing算法的DES加密算法,而QNX,采用了自己的加密算法不同与标准的crypt(3),它里面包含了酥油信息可以直接恢复密码,这样本地用户就可以通过访问passwd文件,来获得系统的ROOT权限 测试代码 可以使用下面的程序来测试恢复口令:http://www.securityfocus.com/data/vulnerabilities /exploits/decrypt-qnx.c 解决方案 暂无 相关信息 |
