更新日期:2008-07-24
受影响系统:
EMC Centera Universal Access 4.0_4735.p4
不受影响系统:
EMC Centera Universal Access 4.0.1 Patch 1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 30358
CENTERA Universal Access是EMC公司的CENTERA存储系统的管理软件。
CENTERA Universal Access没有正确过滤CUA Module Login中的用户名字段,远程攻击者可以通过“--”句法绕过出口令检查,使用表格中第一个可用的用户名登录。在执行几次尝试或通过搜索CUA Module中的Accounts标签后,攻击者就可以收集所有用户名列表,然后选择出管理员帐号并在用户名后添加“--”登录到系统。
<*来源:Aaron Brown (Aaron.Brown@admeritia.de)
链接:http://marc.info/?l=full-disclosure&m=121684757516717&w=2
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
网管网bitsCN_com
Username: valid_user_name
Password: --
建议:
--------------------------------------------------------------------------------
厂商补丁:
EMC
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.emc.com/products/detail/software/emc-centera-universal-access.htm
