发布日期：2007-10-24
更新日期：2007-10-26

受影响系统：

Mldonkey Mldonkey 2.9
Mldonkey Mldonkey 2.8
Mldonkey Mldonkey 2.7
Mldonkey Mldonkey 2.6
Mldonkey Mldonkey 2.5-4
Mldonkey Mldonkey 2.5

不受影响系统：

Mldonkey Mldonkey 2.9.0-r3

描述：

---

BUGTRAQ  ID: 26202

MLDonkey是一个开源的免费的多协议P2P下载应用程序。

MLDonkey在创建P2P用户时存在漏洞，远程攻击者可能利用此获取非授权的系统访问。

MLDonkey ebuild错误地对系统添加了p2p用户，而该用户口令为空且拥有有效的登录shell，因此攻击者可以利用这个漏洞登录到受影响的系统。成功攻击要求所安装的登录服务允许空口令，如配置了PermitEmptyPasswords yes选项的SSH、本地登录控制台或telnet服务器。

<*来源：Ramin
  
  链接：http://secunia.com/advisories/27366/
        http://bugs.gentoo.org/show_bug.cgi?format=multiple&id=189412
        http://security.gentoo.org/glsa/glsa-200710-25.xml
*>

建议：

---

临时解决方法：

* 更改p2p用户的shell禁止登录，以root运行以下命令：

# usermod -s /bin/false p2p

厂商补丁：

Mldonkey
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://mldonkey.sourceforge.net/Main_Page

浏览次数：2256
严重程度：0（网友投票）