漏洞信息详情
Caldera Volution Manager默认明文目录管理员密码漏洞
- CNNVD编号:CNNVD-200210-067
- 危害等级: 高危
- CVE编号: CVE-2002-0911
- 漏洞类型: 未知
- 发布时间: 2002-06-03
- 威胁类型: 本地
- 更新时间: 2005-05-02
- 厂 商: caldera
- 漏洞来源: [email protected]※ [email protected]');"> security@caldera....
漏洞简介
Volution Manager是一款Caldera公司分发和维护的安全的、基于网络的控制和管理解决方案,能支持所有主要Linux厂商的最新版本,同时支持Caldera的Open Unix 和OpenServer产品。 Volution Manager以明文方式存储目录管理密码,可导致本地攻击者通过其他漏洞查看相关配置文件获得密码信息。 Volution Manager把目录管理密码以明文密码方式存储在/etc/ldap/sldap.conf\'\'配置文件中,虽然Volution Manager支持对密码进行加密,但默认没有采用密码加密方式。 需要注意的是默认情况下/etc/ldap/sldap.conf\'\'配置文件不是全局可读,攻击者需要利用其他漏洞获得文件内容。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* Caldera声称在下一个版本将修改默认配置支持密码加密。
要实现密码加密,Caldera建议进行如下操作:
以Root用户运行slappasswd,输入你想输入的密码:
# slappasswd
New password: newpasswd
Re-enter new password: newpasswd
{SSHA}AvcGnFPjUCqbIs/Ki8XfiOYJwttfwnRz
#
在以上所见的加密密码信息加入到/etc/ldap/slapd.conf文件中,在rootpw后输入相应的加密密码信息,如下所示:
rootpw {SSHA}AvcGnFPjUCqbIs/Ki8XfiOYJwttfwnRz 厂商补丁: Caldera ------- Caldera已经为此发布了一个安全公告(CSSA-2002-024.0)以及相应临时解决方法:
CSSA-2002-024.0:Volution Manager: Directory Administrator password in cleartext
链接: http://www.caldera.com/support/security/advisories/CSSA-2002-024.0.txt
参考网址
来源: BID 名称: 4923 链接:http://www.securityfocus.com/bid/4923 来源: XF 名称: volution-manager-plaintext-password(9240) 链接:http://www.iss.net/security_center/static/9240.php 来源: CALDERA 名称: CSSA-2002-024.0 链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-024.0.txt
受影响实体
- Caldera Volution_manager:1.1
- Caldera Volution_manager:1.1
补丁
暂无
评论