漏洞信息详情
LinBit Technologies LINBOX Officeserver远程验证绕过漏洞
- CNNVD编号:CNNVD-200403-139 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2004-1878
- 漏洞类型: 访问验证错误
- 发布时间: 2004-03-30
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: linbit_technologies
- 漏洞来源: Martin Eiszner※ se...
-
漏洞简介
LINBOX提供完成的IT解决方案,包括如防火墙,文件,邮件,代理服务器等。 LINBOX的管理脚本存在设计错误,远程攻击者可以利用这个漏洞绕过验证未授权访问系统。 LINBOX默认在8080口包含基于WEB的管理接口,默认Internet可连接,管理访问需要用户名和密码,但是攻击者可直接提交//admin/user.pl请求绕过验证,直接访问管理功能。 另外通过访问users.pl,直接点击编辑,可从页面源代码中获得用户密码信息。而且这些帐户信息又是系统帐户可直接通过SSH等接口访问。
漏洞公告
厂商补丁: LinBit Technologies ------------------- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
LinBit Technologies LINBOX Officeserver :
LinBit Technologies Patch linbox-sa1.patch
http://linbox.linbit.at/patches/linbox-sa1.patch
参考网址
来源: XF 名称: linbox-slashslash-security-bypass(15677) 链接:http://xforce.iss.net/xforce/xfdb/15677 来源: BID 名称: 10010 链接:http://www.securityfocus.com/bid/10010 来源: SECUNIA 名称: 11264 链接:http://secunia.com/advisories/11264 来源: www.websec.org 链接:http://www.websec.org/adv/linbit.txt.html 来源: BUGTRAQ 名称: 20040330 Linbit linbox Multiple Vulnerabilities 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108067245401673&w=2
受影响实体
- Linbit_technologies Linbox_officeserver<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...