|
|
Entrust Authority Security Manager存在多个验证问题
发布时间:2002-07-02
更新时间:2003-04-04
严重程度:高
威胁程度:控制应用程序系统
错误类型:访问验证错误
利用方式:服务器模式
BUGTRAQ ID:7284
CVE(CAN) ID:CAN-2002-0712
受影响系统Entrust Authority Security Manager 5.0
- Compaq Tru64 5.1
- HP HP-UX 11.0
- IBM AIX 4.3.3
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server SP2
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0 SP1
- Microsoft Windows NT Server 4.0 SP2
- Microsoft Windows NT Server 4.0 SP3
- Microsoft Windows NT Server 4.0 SP4
- Microsoft Windows NT Server 4.0 SP5
- Microsoft Windows NT Server 4.0 SP6
- Microsoft Windows NT Server 4.0 SP6a
- Sun Solaris 7.0
- Sun Solaris 8.0
Entrust Authority Security Manager 6.0
- Compaq Tru64 5.1
- HP HP-UX 11.0
- IBM AIX 4.3.3
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server SP2
- Microsoft Windows NT Server 4.0
- Microsoft Windows NT Server 4.0 SP1
- Microsoft Windows NT Server 4.0 SP2
- Microsoft Windows NT Server 4.0 SP3
- Microsoft Windows NT Server 4.0 SP4
- Microsoft Windows NT Server 4.0 SP5
- Microsoft Windows NT Server 4.0 SP6
- Microsoft Windows NT Server 4.0 SP6a
- Sun Solaris 7.0
- Sun Solaris 8.0 详细描述
Entrust Authority Security Manager是用于用户验证操作,其中存在漏洞允许未授权用户更改主用户密码。
问题是此管理程序对命令行工具的请求访问,没有需要象GUI图形工具一样的验证需求。使用命令行可以绕过此程序的可信任模块而访问系统。
测试代码
尚无
解决方案
升级程序:
Entrust Authority Security Manager 5.0:
Entrust Upgrade Entrust Authority Security Manager 6.1
http://www.entrust.com
Entrust Authority Security Manager 6.0:
Entrust Upgrade Entrust Authority Security Manager 6.1
http://www.entrust.com
相关信息
参考:http://www.securityfocus.com/bid/7284
相关主页:http://www.entrust.com/
|
