发布日期：2008-07-23
更新日期：2008-07-24

受影响系统：

EMC Centera Universal Access 4.0_4735.p4

不受影响系统：

EMC Centera Universal Access 4.0.1 Patch 1

描述：

---

BUGTRAQ  ID: 30358

CENTERA Universal Access是EMC公司的CENTERA存储系统的管理软件。

CENTERA Universal Access没有正确过滤CUA Module Login中的用户名字段，远程攻击者可以通过“--”句法绕过出口令检查，使用表格中第一个可用的用户名登录。在执行几次尝试或通过搜索CUA Module中的Accounts标签后，攻击者就可以收集所有用户名列表，然后选择出管理员帐号并在用户名后添加“--”登录到系统。

<*来源：Aaron Brown （Aaron.Brown@admeritia.de）
  
  链接：http://marc.info/?l=full-disclosure&m=121684757516717&w=2
        http://secunia.com/advisories/31215/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Username: valid_user_name
Password: --

建议：

---

厂商补丁：

EMC
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.emc.com/products/detail/software/emc-centera-universal-access.htm

浏览次数：2611
严重程度：0（网友投票）