X-News不安全用户数据库权限漏洞

漏洞信息详情

X-News不安全用户数据库权限漏洞

• CNNVD编号：CNNVD-200212-793
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1656
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-03-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-30
  
• 厂        商：
  
  xqus
• 漏洞来源：
  frog frog※ leseulf…

X-News是一款由PHP语言编写的新闻管理系统，X-News使用文件数据库形式存储信息，可以运行在多种Unix和Linux操作系统下，也运行在Microsoft windows操作系统平台下。

X-News由于设计错误，把用户用于认证的敏感信息以全局可读形式存储在文件中，可导致本地用户获得这些敏感信息。X-News把用户ID和MD5散列(hashes)信息存储在全局可读的db/users.txt文件中，这些信息等同与用于X-News基于COOKIE认证的信任书中的信息，本地用户可以把这些敏感信息组合在COOKIE中并提交，可以不加授权的访问X-News系统。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 对以上存储用户信息的文件进行访问控制，防止未授权用户访问。

厂商补丁：

Xqus

—-

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://xqus.com” target=”_blank”>

http://xqus.com

来源:US-CERT Vulnerability Note: VU#162723

名称: VU#162723

链接:http://www.kb.cert.org/vuls/id/162723

来源: XF

名称: xnews-users-world-readable(8465)

链接:http://xforce.iss.net/xforce/xfdb/8465

来源: BID

名称: 4283

链接:http://www.securityfocus.com/bid/4283

来源: www.ifrance.com

链接:http://www.ifrance.com/kitetoua/tuto/x_holes.txt

来源: SECTRACK

名称: 1003828

链接:http://securitytracker.com/id?1003828

来源：NSFOCUS
名称：2417
链接：http://www.nsfocus.net/vulndb/2417