deltathree PC-to-Phone 存在认证信息泄露漏洞

发布时间：2001-10-29
更新时间：2001-10-29
严重程度：中
威胁程度：口令恢复
错误类型：设计错误
利用方式：服务器模式

受影响系统

deltathree PC-to-Phone 3.0.3
   - Microsoft Windows 95
   - Microsoft Windows 98
   - Microsoft Windows 2000
   - Microsoft Windows 2000 SP1
   - Microsoft Windows 2000 SP2
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6
   - Microsoft Windows NT 4.0SP6a

详细描述
PC-to-Phone 是用户可以使用IP打电话或者PC到PC的讲话的应用程序。
其中PC-to-phone存在问题可以导致认证信息的泄露，如果用户在多用户系统下就可以查看temp.html文件内容，其中包含帐户号码密码等等，而且此文件可以全局可读。

测试代码
见描述

解决方案
尚无

相关信息
Arthur Hagen <art@broomstick.com>
参考：http://www.securityfocus.com/archive/1/001b01c15d1e$ab541160$0201a8c0@mnchs1.ct.home.com

最近严重漏洞

deltathree PC-to-Phone 存在认证信息泄露漏洞