iplanet calendar server 5.0p2 存在管理员密码泄露问题发布时间:2001-04-19 更新时间:2001-04-19 严重程度:高 威胁程度:口令恢复 错误类型:配置错误 利用方式:服务器模式 受影响系统 iplanet calendar server 5.0p2详细描述 标准的iPlanet Calendar server把NAS LDAP的管理员密码存储在全局 可读的文件中: -rw-r--r-- 1 icsuser icsgroup 37882 Feb 20 10:18 /opt/SUNWics5/cal/bin/config/ics.conf 在下面的条目中可以找到用户名和密码: local.authldapbinddn (username) 和 local.authldapbindcred (password) 这就导致所有本地用户对NAS LDAP数据库有全局可读写的权利,导致 破坏web/e-commerce站点,目录等。 测试代码 见描述部分。 解决方案 尚无 相关信息 Adam Laurie (adam@ALGROUP.CO.UK) |
