Hosting Controller用户名信息泄露漏洞

漏洞信息详情

Hosting Controller用户名信息泄露漏洞

• CNNVD编号：CNNVD-200205-004
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0212
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-01-26
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  hosting_controller
• 漏洞来源：
  Ahmet Sabri ALPER※…

Hosting Controller是一个Windows平台下的一体化的虚拟主机管理软件。它可以使所有网站管理活动自动化，并且给予每个Web托管的用户所需要的权限，以管理他们自己的Web网站。
Hosting Controller设计上存在问题，可能使远程攻击者得到服务相关的用户信息。
Hosting Controller的登录控制存在漏洞，当远程攻击者尝试登录时，如果他输入了一个无效的用户名，服务器返回的信息是\”The user name could not be found\”，如果他输入的是有效的用户名和错误的口令时，服务器返回的信息是\”The user has entered an invalid password\”，由此可见攻击者利用回应信息的不同可以暴力猜测服务的有效用户名，因而用户可能得到主机的相关用户信息。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

没有合适的临时解决方法。
厂商补丁：
Hosting Controller
——————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.hostingcontroller.com/english/index.html” target=”_blank”>
http://www.hostingcontroller.com/english/index.html

来源: XF
名称: hosting-controller-brute-force(8006)
链接:http://www.iss.net/security_center/static/8006.php

来源: BUGTRAQ
名称: 20020126 [ARL02-A01] Vulnerability in Hosting Controller
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101224151705897&w=2

来源: hostingcontroller.com
链接:http://hostingcontroller.com/English/patches/ForAll/index.html

来源: BID
名称: 3971
链接:http://www.securityfocus.com/bid/3971