Caldera Volution Manager默认目录管理密码漏洞发布时间:2002-06-08 更新时间:2002-06-08 严重程度:高 威胁程度:口令恢复 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:4923 受影响系统 Caldera Volution Manager 1.1详细描述 Caldera声称Volution Manager 1.1把目录管理密码以明文方式存储在'/etc/ldap/sldap.conf'配置文件中,虽然Volution Manager支持密码加密,但默认不采用。 '/etc/ldap/sldap.conf'配置文件全局不可读,攻击者可以利用漏洞获得文件内容继而获得密码信息。 测试代码 尚无 解决方案 使用如下方法进行加密: # slappasswd New password: newpasswd Re-enter new password: newpasswd {SSHA}AvcGnFPjUCqbIs/Ki8XfiOYJwttfwnRz # 再在/etc/ldap/slapd.conf配置文件中使用如下一行配置: rootpw {SSHA}AvcGnFPjUCqbIs/Ki8XfiOYJwttfwnRz 相关信息 Caldera security advisory CSSA-2002-024.0 参考:http://online.securityfocus.com/advisories/4173 相关主页:http://www.caldera.com/products/volutionmanager/ |
