微点交流论坛

标题: Infrant ReadyNAS Devices缺省时SSH管理员密码的漏洞 [打印本页]

作者: pioneer 时间: 2007-8-16 10:21 标题: Infrant ReadyNAS Devices缺省时SSH管理员密码的漏洞

来源

secunia.com

操作系统

Infrant ReadyNAS Devices 3.x

描述

这会被恶意用来绕过特定的安全限制。
问题是包含SSH daemon的设备不能不可用，并且设备上SSH管理员帐户的密码靠使用特定的设备值来生成（例如MAC地址，序列号，版本号）并且永远不能改变。这会潜在的用来生成SSH管理员密码和得到访问目标设备的权限。
在AIDiator 3.01c1-p1, 3.01c1-p6的ReadyNAS设备中已经报告，其它版本可能也受到影响。

解决方案

厂商提供了附带可用/不可用SSH设备的ToggleSSH，并且推出了缺省时SSH不可用的RAIDiator 4.00b2-p2-T1测设版，

http://www.infrant.com/download/addons/ToggleSSH_1.0.bin
http://www.infrant.com/beta/raidiator/4.0/RAIDiator-4.00b2-p2-T1

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn