SNS安全公告:PGP keyserver访问权限配置存在问题发布时间:2001-09-29 更新时间:2001-09-29 严重程度:高 威胁程度:远程管理员权限 错误类型:访问验证错误 利用方式:服务器模式 受影响系统 PGP Keyserver 7.0详细描述 PGP KEYSERVER由Network Associates发行,包含一个漏洞可以导致攻击者不需要任何认证访问管理员接口。因为PGP KERSERVER默认配置使用了WEB接口,并需要用户名和密码来访问这个配置接口,但配置不安全导致未授权用户可以访问并改变配置。 测试代码 一般要认证的请求如下: http://server.name/keyserver/cgi-bin/console.exe?page_size=... http://server.name/keyserver/cgi-bin/cs.exe?action=... PGP keyserver允许攻击者进行如下请求而执行执行管理员任务: http://server.name/cgi-bin/console.exe?page_size=... http://server.name/cgi-bin/cs.exe?action=... 解决方案 请参看如下解决方案: http://www.pgp.com/support/product-advisories/keyserver.asp 相关信息 Nobuo Miwa (LAC / snsadv@lac.co.jp) |
