Caldera Volution Manager默认明文目录管理员密码漏洞

漏洞信息详情

Caldera Volution Manager默认明文目录管理员密码漏洞

• CNNVD编号：CNNVD-200210-067
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0911
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-06-03
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  caldera
• 漏洞来源：
  security@caldera….

Volution Manager是一款Caldera公司分发和维护的安全的、基于网络的控制和管理解决方案，能支持所有主要Linux厂商的最新版本，同时支持Caldera的Open Unix 和OpenServer产品。
Volution Manager以明文方式存储目录管理密码，可导致本地攻击者通过其他漏洞查看相关配置文件获得密码信息。
Volution Manager把目录管理密码以明文密码方式存储在/etc/ldap/sldap.conf\’\’配置文件中，虽然Volution Manager支持对密码进行加密，但默认没有采用密码加密方式。
需要注意的是默认情况下/etc/ldap/sldap.conf\’\’配置文件不是全局可读，攻击者需要利用其他漏洞获得文件内容。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* Caldera声称在下一个版本将修改默认配置支持密码加密。

要实现密码加密，Caldera建议进行如下操作：

以Root用户运行slappasswd，输入你想输入的密码：

# slappasswd

New password: newpasswd

Re-enter new password: newpasswd

{SSHA}AvcGnFPjUCqbIs/Ki8XfiOYJwttfwnRz

#

在以上所见的加密密码信息加入到/etc/ldap/slapd.conf文件中，在rootpw后输入相应的加密密码信息，如下所示：

rootpw {SSHA}AvcGnFPjUCqbIs/Ki8XfiOYJwttfwnRz
厂商补丁：
Caldera
——-
Caldera已经为此发布了一个安全公告(CSSA-2002-024.0)以及相应临时解决方法:

CSSA-2002-024.0：Volution Manager: Directory Administrator password in cleartext

链接：http://www.caldera.com/support/security/advisories/CSSA-2002-024.0.txt” target=”_blank”>
http://www.caldera.com/support/security/advisories/CSSA-2002-024.0.txt

来源: BID
名称: 4923
链接:http://www.securityfocus.com/bid/4923

来源: XF
名称: volution-manager-plaintext-password(9240)
链接:http://www.iss.net/security_center/static/9240.php

来源: CALDERA
名称: CSSA-2002-024.0
链接:ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-024.0.txt