Xitami 纯文本密码漏洞
2000-12-08 00:00:00·
yagami·patching特别提供
受影响的版本: Xitami Web Server release 2.5b4
for Win 95 / 98 / NT / Win2k
是否本地: 是
是否远程: 非
风险等级: 中
问题描述:
我发现Xitami WEbserver将Xitami Webserver管理的纯文本密码存储在默认安装文件夹C:\Xitami的defaults.aut文件中.即使你改变了安装文件夹,它还是存储在那里.
例如:
defaults.aut
# Created at installation time
#
[/Admin]
admin="root123" $#@60;----- admin=username password=root123
[Private]
Jacky=robusta
问题存在于当攻击者获得Xitami根目录的物理访问并打开Defaults.Aut文件时,攻击者可以利用这个来获得webserver管理系统的管理员权限,例如:http://localhost/admin,然后攻击者输入存储在defaults.aut文件中的用户名和密码,这样攻击者就获得了web
server的完全访问权.
如果你试图在下次登录Xitami WEb管理站点时将密码文件存储到另一个文件夹,将出现这个错误信息--$#@62; Abort at smthttp:Resolve-Virtual-Hostname:
(Have-Client-Request, Finished-Event)导致Webserver不能用,而且你需要重装整个应用程序.
措施:
不让你的工作站或服务器开放Xitami web server的根目录物理访问,改变webserver的默认文件夹,不要使用C:\Xitami.
|
.