Novell Groupwise Servlet Gateway认证默认配置错误漏洞

漏洞信息详情

Novell Groupwise Servlet Gateway认证默认配置错误漏洞

• CNNVD编号：CNNVD-200112-104
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-1195
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2001-12-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  novell
• 漏洞来源：
  Adam Gray※ AGray@n…

Novell Groupwise Servlet Gateway是一个使Java servlet运行于NetWare平台上的产品，它使用Novell JVM for NetWare v1.1.7b和NetWare Enterprise Web服务器。
Novell Groupwise Servlet Gateway默认的访问控制存在配置错误，可以使远程攻击者得到Servlet管理界面的访问权限。
Servlet管理界面默认的用户名和口令分别是\”servlet\”和\”manager\”，远程攻击者可以通过输入默认的用户名和口令得到对管理界面的访问。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 对管理界面的目录设置HTTP认证，只允许授权用户访问。

* 修改SYS:\JAVA\SERVLETS\SERVLET.PROPERTIES文件：

找到如下所示的段：

# ServletManager servlet

servlet.ServletManager.code=com.novell.application.ServletGateway.ServletManager

servlet.ServletManager.initArgs=datamethod=POST,user=servlet,password=manager,bgcolor

#c0c0c0

servlet.ServletManager.preload=true

修改”user=”后的用户名和”password=”后的口令。
厂商补丁：
Novell
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://support.novell.com/” target=”_blank”>
http://support.novell.com/

来源: BUGTRAQ
名称: 20011215 Novell Groupwise servlet gateway default username and password
链接:http://www.securityfocus.com/archive/1/245871

来源: XF
名称: groupwise-servlet-manager-default(7701)
链接:http://www.iss.net/security_center/static/7701.php

来源: support.novell.com
链接:http://support.novell.com/cgi-bin/search/searchtid.cgi?/10067329.htm

来源: BID
名称: 3697
链接:http://www.securityfocus.com/bid/3697