MDaemon的Lock Server可被绕过的漏洞

/ns/ld/win/data/20010202020413.htm

MDaemon的Lock Server可被绕过的漏洞
发布日期: 2000-12-18

更新日期: 2000-12-18
受影响的系统:
Alt-N Mdaemon 3.5.1
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000

描述:
--------------------------------------------------------------------------------


Mdaemon是Alt-N Technologies开发的电子邮件服务器,支持最常用的一些Internet
邮件协议。作为一种安全特性,MDaemon允许管理员锁定系统桌面上的管理控制台。当
管理控制台被锁定之后,需要使用它时必须输入密码。

不幸的是这个安全特性的实现中存在一个缺陷。当出现输入密码的提示时,只要点击
“取消”按钮并按回车键,用户就可以进入MDaemon的界面并具有管理权限。

这样,攻击者就可以修改MDaemon的配置,从而导致拒绝服务或者有助于进行其它侵害。

<*来源:Mohamed Riyad (riyad@lankagate.com) *>


--------------------------------------------------------------------------------
建议:

厂商补丁:

暂无

------------------