[转载]Opsware NAS Root口令信息泄露漏洞
信息来源:绿盟科技发布日期:2006-07-24
更新日期:2006-07-25
受影响系统:
Opsware NAS 6.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19126
Opsware网络自动化系统(NAS)是广泛部署的网络配置和符合性管理(NCCM)解决方案。
Opsware对配置脚本的访问权限设置存在漏洞,本地攻击者可能利用此漏洞获取连接MySQL数据库的密码。
Opsware NAS 6.0的/etc/init.d/mysqll中存在init类型的启动脚本,且在安装中还存在MySQL MAX数据库的root口令。这个shell脚本的权限是完全可读的,这就允许系统中的任何用户都可以入侵root帐号,读取敏感的网络信息,包括所存储或共享的网络设备认证凭据。
<*来源:Micheal Freeman ([email]mfreeman@multimax.com[/email])
链接:[url]http://marc.theaimsgroup.com/?l=bugtraq&m=115378363028656&w=2[/url]
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Opsware
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
[url]http://www.opsware.com/products/networkautomation/[/url]
页:
[1]