 |
Sun Java系统目录服务器认证绕过漏洞 |
|
|
| Sun Java系统目录服务器认证绕过漏洞 |
|
| 作者:佚名 文章来源:不详 点击数: 更新时间:2007-1-25 12:08:34 |
|
发布日期:2006-05-17
更新日期:2006-05-17
受影响系统:
Sun Java System Directory Server 5.2 Patch4
Sun Java System Directory Server 5.2 Patch3
Sun Java System Directory Server 5.2 Patch2
Sun Java System Directory Server 5.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 18018
Sun Java系统目录服务器是Java企业系统的一个组件,为企业管理大量用户信息提供用户管理基础架构。
Sun Java系统目录服务器5.2版本中的安全漏洞可能允许本地或远程用户通过登录到目录服务器控制台获得对目录服务器的非授权管理访问。
这个漏洞取决于目录服务器产品在初始安装时所使用的版本。如果初始安装是从受影响版本进行的,就会将错误的用户数据输入到管理服务器例程安装过程中所创建的文件中,之后将产品升级到不受影响版本也无法修复这个漏洞。
<*来源:Sun Alert Notification
链接:http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102345-1
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
必须通过以下两种方式之一手动更改在第一次安装过程中所设置的管理用户口令:
管理控制台:
1. 启动控制台,以administrator或directory manager身份登录
2. 选择“admin server”
3. 选择“user”标签
4. 选择“access”标签
5. 设置新的口令
或:
使用命令行运行以下命令:
% <serverroot>/bin/admin/adminconfig -server <server>:<port> -user <adminuser>:<adminpassword> -setAdminPwd <new passwd>
使用类似于“ls(1)”之类的命令检查文件的修改时间确认<serverroot>/admin-serv/config/admpw
已被更改。
厂商补丁:
Sun
---
Sun已经为此发布了一个安全公告(Sun-Alert-102345)以及相应补丁:
Sun-Alert-102345:Security Vulnerability in Sun Java System Directory Server Related to Initial Installation Data
链接:http://sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102345-1 【转自世纪安全网 http://www.21safe.com】
|
|
| 文章录入:admin 责任编辑:admin |
|
|
上一篇文章: 分析:全程追踪入侵JSP网站服务器
下一篇文章: OpenOffice Java Applet系统访问漏洞 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
|
 网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
