发布日期：2002-04-03
更新日期：2002-04-09

受影响系统：

TalkD TalkD
    - NetBSD 1.5.2
    - NetBSD 1.5.1
    - NetBSD 1.5
    - NetBSD 1.4.3
    - NetBSD 1.4.2
    - NetBSD 1.4.1
    - NetBSD 1.4
    - NetBSD 1.3.3
    - NetBSD 1.3.2
    - NetBSD 1.3.1
    - NetBSD 1.3
    - NetBSD 1.2.1
    - NetBSD 1.2
    - NetBSD 1.1
    - NetBSD 1.0

描述：

---

BUGTRAQ  ID: 4419

talkd是一款客户端/服务器端形式的应用程序，用于各个用户之间以本地和远程的方式进行通信，使用在多种Unix和Linux操作系统平台下。

talkd由于没有充分验证请求交谈的用户身份，可导致攻击者在交谈过程中欺骗用户。

由于缺少对交谈用户的身份确认，攻击者可以以其他用户身份与root等用户交谈，通过社会工程学等攻击者方法，可以欺骗用户获得相关敏感信息。

NetBSD系统下的talkd受此漏洞影响，talkd也被多种Linux和Unix系统使用，所以其他操作系统也很可能存在这个漏洞。

<*来源：Tekno pHReak （tek@superw00t.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0041.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Tekno pHReak （tek@superw00t.com）提供了如下测试方法：

http://www.superw00t.com/projects/talkspoof.tar.gz



建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。

厂商补丁：

TalkD
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注各系统厂商的主页以获取最新版本。



浏览次数：3548
严重程度：0（网友投票）