FastTrack P2P技术信息服务存在身份欺骗漏洞

漏洞信息详情

FastTrack P2P技术信息服务存在身份欺骗漏洞

• CNNVD编号：CNNVD-200206-078
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0315
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-02-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  grokster
• 漏洞来源：
  mrjade 2k2※ mrjade…

KaZaA， Grokster和Morpheus是基于FastTrack P2P技术的文件共享客户端，它们运行于Microsoft Windows平台，并已经移植到Linux平台。
用户可以通过受影响客户端的消息服务伪造一个HTTP GET头来伪装成一个已经存在的用户。不过伪造头的主机和用户名必须是合法的。
客户端的消息服务默认在1214端口监听，即使没有任何连接到该服务。
基于FastTrack P2P技术的文件共享客户端如果有消息功能可能都会有这个漏洞。
这是一个安全漏洞，因为访问控制是基于客户端的身份验证。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。
厂商补丁：
Fast Track
———-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.kazaa.com/” target=”_blank”>
http://www.kazaa.com/

http://www.grokster.com/” target=”_blank”>
http://www.grokster.com/

http://www.musiccity.com/” target=”_blank”>
http://www.musiccity.com/

来源: BID
名称: 4121
链接:http://www.securityfocus.com/bid/4121

来源: XF
名称: fasttrack-message-service-spoof(8272)
链接:http://www.iss.net/security_center/static/8272.php

来源: BUGTRAQ
名称: 20020222 Morpheus, Kazaa and Grokster Remote DoS. Also Identity faking vulnerability.
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101441689224760&w=2