发布日期：2011-02-21
更新日期：2011-02-21

受影响系统：

Oracle Passlogix v-GO Self-Service Password Reset 0

不受影响系统：

Oracle Passlogix v-GO Self-Service Password Reset 7.0A
Oracle Passlogix v-GO Self-Service Password Reset 7.0A

描述：

---

BUGTRAQ  ID: 46452
CVE ID: CVE-2010-4506

Passlogix v-GO SSPR是向用户提供通过自动重置Windows密码快速、安全地访问其计算机的软件。

Oracle Passlogix v-GO Self-Service Password Reset在实现上存在未授权访问漏洞，攻击者利用此漏洞在目标系统中查看和执行任意文件。

过期的SSL证书会造成此问题，另外需要网络连接以欺骗路由器并将无效证书返回给客户端的中间人攻击，系统设置的更改（例如未来日期）不匹配证书都会造成此问题。


<*来源：Garrett Held
  
  链接：https://www.trustwave.com/spiderlabs/advisories/TWSL2010-007.txt
*>

建议：

---

厂商补丁：

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.oracle.com

浏览次数：2344
严重程度：0（网友投票）