微点交流论坛

标题: Gentoo MLDonkey "p2p"的空口令隐患 [打印本页]

作者: pioneer 时间: 2007-11-1 09:47 标题: Gentoo MLDonkey "p2p"的空口令隐患

来源

secunia.com

操作系统

Gentoo Linux 1.x

描述

这可恶意危害有漏洞的系统
MLDonkey ebuild可用空口令和一个有效的登录shell，导致不正确地添加一个新"p2p"用户到系统时，可访问受影响的系统。

成功执行需要远程登录服务器安装设置使用空口令

该漏洞在V2.9.0-r3之前的版本中已经涉及

解决方案

厂商建议改变"p2p"的登录shell以拒绝登录(例如"usermod -s /bin/false p2p")

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn