作家
登录

HP TCP/IP Services 用户名枚举/暴力猜测漏洞

作者: 来源: 2012-06-12 22:22:54 阅读 我要评论

发布日期:2007-07-03
更新日期:2007-07-04

受影响系统:
HP TCP/IP Service 5.6
HP HP OpenVMS 8.3.Alpha
HP HP OpenVMS 8.3 Integrity
HP HP OpenVMS 8.2.Alpha
HP HP OpenVMS 8.2-1 Integrity
HP HP OpenVMS 7.3 -2 Alpha
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 24751

OpenVMS是企业级的集群操作系统,可运行在多个服务器平台上。

OpenVMS的POP服务程序会根据用户所提供的用户名是否有效返回不同的响应,这允许攻击者枚举有效的POP用户名,导致敏感信息泄露。

OpenVMS的TCP/IP Services POP3邮件机制没有正确地执行入侵检测。如果pop客户端请求访问VMS POP服务器并提供了错误的用户名/口令,审计服务器不会记录这个事件,仅仅向OPCOM发送了简单的消息,但消息中没有包含有关请求来源的任何线索。因此,用户可以通过POP暴力猜测用户名。

<*来源:JF Mezei

链接:http://secunia.com/advisories/25882/
http://groups.google.com/group/comp.os.vms/browse_thread/thread/a5f68773805f862d/8a42e91fe1e9cd36#
*>

建议:
--------------------------------------------------------------------------------
厂商补丁:

HP
--
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://itrc.hp.com
【绿盟授权51CTO.COM 独家报道,未经书面许可不得转载!】


  推荐阅读

  HP即时支持驱动程序检查sdd.dll栈缓冲区溢出漏洞

发布日期:2007-07-02 更新日期:2007-07-04受影响系统: HP Instant Support - Driver Check < v1.5.0.3 - Microsoft Windows XP SP2 不受影响系统: HP Instant Support - Driver Check v1.5.0.3 描述: -->>>详细阅读


本文标题:HP TCP/IP Services 用户名枚举/暴力猜测漏洞

地址:http://www.17bianji.com/anquan/buding/2590.html

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

精彩导读
栏目ID=71的表不存在(操作类型=0)