‹‹ 上一主题 | 下一主题 ››
发新话题
打印

Juniper Neoteris IVE远程密码猜测攻击漏洞

自我感觉
新手上路
Rank: 1
 精华: 0
 积分: 2
 帖子: 3
 威望: 0 点
 金钱: 0 币
 贡献: 0 点
 经验:  01级 已经发了3篇文章咯加油加油
 阅读权限: 10
 注册: 2007-7-2
状态: 性别:保密-当前离线
发短消息 加为好友
1# 发表于 2007-7-6 14:51  只看该作者

Juniper Neoteris IVE远程密码猜测攻击漏洞

Juniper Neoteris IVE远程密码猜测攻击漏洞

发布日期:2004-10-06

漏洞描述:

--------------------------------------------------------------------------------
Juniper Neoteris IVE是可以通过标准WEB浏览器“无需客户端”访问内部网络的SSL VPN解决方案
Juniper Neoteris IVE包含的'changepassword.cgi'存在问题,远程攻击者可以利用这个漏洞无限制地暴力猜测密码。
当用户密码过期并在后续继续尝试进行系统验证时,'changepassword.cgi'脚本没有对用户的访问进行限制和验证,此脚本允许用户尝试以过期的密码登录,并对验证尝试没有作任何限制。结果可导致拥有过期密码的合法用户帐户的远程用户可进行暴力猜测密码攻击。
此漏洞只针对配置了LDAP或NT域验证服务的系统。

受影响的软件:

--------------------------------------------------------------------------------
・ Juniper Networks Neoteris IVE 4.x
・ Juniper Networks Neoteris IVE 3.x

解决方案:

--------------------------------------------------------------------------------
・ 厂商补丁:
  http://www.juniper.net/alerts/viewal...&viewMode=view

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题