Trend Micro OfficeScan 存在配置文件可泄露问题发布时间:2001-10-17 更新时间:2001-10-17 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 OfficeScan Corporate Edition Ver.3.53详细描述 Trend Micro OfficeScan Corporate Edition (Japanese version: Virus Buster Corporate Edition) 是一款企业级的反病毒软件,存在漏洞可以导致远程攻击者获得包含密码的配置文件。 当软件安装以后,会建立几个虚拟目录来提供基于WEB的管理控制功能,但是,攻击者 可以访问/offciescan/hotdownload而不需要任何认证,而此目录下又包含ofcscan.ini配置文件,此配置文件中包含简单加密的密码档,如"12345"将成为 701F702132 。 测试代码 见描述 解决方案 下载补丁: http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3182 相关信息 ARAI Yuu (LAC) y.arai@lac.co.jp 参考:http://archives.neohapsis.com/archives/bugtraq/2001-10/0102.html |
