NetcPlus SmartServer3存在一个弱加密漏洞发布时间:2000-11-21 更新时间:2000-11-21 严重程度:中 威胁程度:口令恢复 错误类型:设计错误 利用方式:服务器模式 受影响系统 NetcPlus SmartServer3 3.75详细描述 SMARTSERVER3是一个EMAIL服务程序,其中存在设计错误可以让本地用户来查看 其他用户的LOGIN信息和访问密码。其中SMARTSERVER3默认安装在C:\ProgramFiles\smartserver3/ 目录下并包含一个配置文件为dialsrv.ini,这个文件可以被其他用户获得和访问 密码。而且加密的密码可以很容易的让第三方软件破解。 测试代码 下面是配置文件中的信息。 [USER1] realname=Carl Jones id=Carl dir=CARL pw=~:kC@nD3~: extml=0 alertport= alert= UserActive=1 MailLimit=0 MailMAxWarn=0 MailMaxSize=20 可以下载下面的测试代码: http://www.securityfocus.com/data/vulnerabilities/exploits/ss3.c 解决方案 尚无 相关信息 |
