Cypherix Cryptainer信息泄露漏洞发布时间:2002-12-16 更新时间:2002-12-16 严重程度:中 威胁程度:用户敏感信息泄露 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:6396 受影响系统 Cypherix Cryptainer详细描述 Cryptainer中储存密码的方法,允许攻击者获得访问密码的能力。 Cryptainer的多个版本都是在内存中以明文方式存储密码而没有经过加密,只要达到下面两个条件就能够获得密码: 1、用户登录至少一次; 2、Cryptainer被加载。 因为该产品有一个选项在最小化到系统托盘,它指出用户是否让Cryptainer运行在没有加载加密部分。用户可能采取的就是没有加载加密模块,他的密码文件是安全的,但是攻击者可以导出内存并找出内存中的明文密码。 测试代码 尚无 解决方案 建议在系统托盘中禁止Cryptainer,或者联系提供商获得更多帮助。 相关信息 相关连接: Password Disclosure in Cryptainer http://online.securityfocus.com/archive/1/303466 Cryptainer Product Page http://www.cypherix.com/cryptainerpe/features.htm |
