发布日期：2002-01-15
更新日期：2002-01-15

受影响系统：

SmoothWall SmoothWall 0.9.9 SE
SmoothWall SmoothWall 0.9.9

不受影响系统：

描述：

---

BUGTRAQ  ID: 3880

SmoothWall是一个免费、开源的Linux加固解决方案。目前它由SmoothWall项目组维护和分发。

SmoothWall防火墙实现中没有使用shadow口令机制。DSL访问的口令是以明文方式保存在配置文件中的。虽然这对不是为多用户设计的防火墙系统没有太大的危险，但但如果攻击可以利用CGI程序的弱点获取nobody用户的权限，就有可能读取这些配置文件，并获得防火墙系统的一些敏感信息，例如拨号口令，从而得到系统访问权限。

<*来源：Juergen Schmidt （ju@ct.heise.de）
  
  链接：http://www.heise.de/ct/english/02/01/162/
        http://www.heise.de/ct/english/02/01/162/response.shtml
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 建议用户使用强壮的口令，或者暂时停止使用SmoothWall。

厂商补丁：

SmoothWall
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.smoothwall.org



浏览次数：3607
严重程度：0（网友投票）