Red Hat PAM qpopper 用户列举漏洞发布时间:2001-08-30 更新时间:2001-08-30 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 受影响系统 Qualcomm qpopper 4.0.1详细描述 Qpopper是广泛使用的UNIX系统下的POP守护程序, 当qpopper在RED HAT系统下与PAM一起使用时,远程用户可以列举合法帐号用户名, 这是因为当验证合法用户和非法用户时其反映的错误信息不同。 测试代码 尚无 解决方案 使用补丁程序: Qualcomm qpopper 4.0.1: Ron Bradburn <ron@dialtone.com> patch Unofficial Patch http://www.securityfocus.com/data/vulnerabilites/patches/qpopper_enum_fix.patch 相关信息 |
