发布日期：2010-03-14
更新日期：2010-03-18

受影响系统：

Novell eDirectory 8.8.5

描述：

---

BUGTRAQ  ID: 38782
CVE(CAN) ID: CVE-2009-4655

Novell eDirectory是一个的跨平台的目录服务器。

eDirectory的DHost Web服务在标识登录的管理员时生成的会话Cookie是可预测的，用户预测到了Cookie值就可以扮演为当前登录的管理员，劫持会话执行各种非授权操作。

<*来源：hdm
  
  链接：http://secunia.com/advisories/38808/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.metasploit.com/redmine/projects/framework/repository/entry/modules/auxiliary/admin/edirec

建议：

---

厂商补丁：

Novell
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://support.novell.com/security-alerts

浏览次数：2226
严重程度：0（网友投票）