AS/400 LDAP用户帐号泄露漏洞
发布日期:2005-03-28
更新日期:2005-03-28
受影响系统:
IBM OS400 5.2描述:
AS/400商用服务器是IBM的中小型商用计算机系统,使用非常广泛。
AS/400系统后端可以在LDAP可访问的目录树中映射OS/400对象。所映射的对象是OS/400对象的LDAP表示,而不是LDAP服务器数据库中存储的真实条目。因此,目录树中映射为条目的唯一对象就是OS/400用户配置文件,这样仅通过LDAP搜索就足以检索到用户列表。
如果要执行上述搜索,用户必须拥有有效的AS/400帐号。LDAP搜索不受任何用户限制或权限的限制。搜索可以返回用户配置文件信息,包括登陆脚本名称,帐号状态,最后登陆时间,口令更改时间等。
<*来源:Shalom Carmel (shalom@venera.com)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111186209318029&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 关闭LDAP。
厂商补丁:
IBM
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ers.ibm.com/
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
