首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
IBM安全公告:修正IBM-based Servers安全缺陷
来源:vittersafe.yeah.net 作者:vitter 发布时间:2004-01-02  

IBM安全公告:修正IBM-based Servers安全缺陷

涉及程序:
IBM-based Servers

描述:
IBM安全公告:修正IBM-based Servers安全缺陷

详细:
安装在IBM机器上运行的Cisco Unity服务器的缺省设置中包含缺省使用者账号及缺省IP地址。

1、本地用户账号:
本机用户账号:”bubba”账号,是一组制造商在制造过程不经意建立、且具备本机登入权限的使用者账号留在服务器中,这组账号可以让攻击者从远程登入,所造成风险有可能有二种:系统被攻陷及未授权的管理存取。

2、RAID管理程序:
在安装Cisco Unity服务器后,假如RAID管理服务被设定成自动执行,且不需要非本地服务器上即可执行,那么RAID服务会试着与RAID服务器建立起TCP session,而服务器地址是在生产过程中由制造商所输入设定的,并且会在机器上留下TCP Port 34571、以用于远程连结。
TCP连结会直接与RAID服务器的IP地址建立连结,而这组IP地址是嵌入RaidNLst.ser文件中,这个文件是保存在C:\PROGRAM\RaidMan目录底下。文件内容包含了RAID管理服务(RaidServ.exe)管理如何发送讯息及发送讯息对像是谁。RAID管理服务会尝试与制造商的测试网络环境中所架设RAID服务器连结上,
而且会在Cisco Unity留下TCP Port 34571,这组通讯端口在Cisco Unity服务器中保持监听,以备由外部进行建立TCP联机。而Cisco Unity服务器本身会一直试着可绕送性TCP/IP地址与RAID服务器取得联机。在INTERNET上使用这个方法的话,是不会响应任何PING的封包或建立联机要求。但是,建议管理员限制目前所知服务器进行建立联机意图,关闭所有没有使用的通讯端口才能确保服务器安全。

3、关于DHCP服务器
在安装Cisco Unity服务器完后,假如Cisco Unity服务器已被设定成从DHCP服务器取得一组IP地址、而且本地端DHCP服务器不存在时,那么Cisco Unity服务器会一直重复地送出封包、试图从制造商处所测试的网络环境中的DHCP服务器取得IP地址。制造商的DHCP服务器IP地址会一直被保留在Cisco Unity登录文件中,直到本地端的DHCP服务器被修改或指定一组定态IP给DHCP服务器使用,Cisco Unity服务器才会修改其登录文件中DHCP地址及主机名称。一旦DHCP 服务器地址曾经在本机端上解析(resolve),那么Cisco Unity服务器登录文件将更新有关DHCP服务器IP地址、主机名称等信息。

攻击方法:
暂无有效攻击代码

解决方案:
解决方案:
1、关于本地用户账号:
移除本机端账号:bubba。请管理员
1.打开Computer Management→按下开始(start)→设定(settings)→按控制台( Control Panel)
2.再按管理工具(Administrative Tools)→点击Computer Management。
3.按Local Users and Group folder→点击User folder→在用户「bubba」这组账号上鼠标右键选择删除(Delete)。
假如使用者账号「bubba」被移除,那么Local User Account这项缺陷就不存在了。

2、关于RAID管理程序
A.假如不想修改服务器上RaidNLst.ser,管理员可以在RAID Manager中移除整个磁盘数据系统:
1.至Start菜单单→选择程序(Programs)→然后再启动ServeRAID Mnager。
2.进入Actions菜单单→选择Configure ServeRAID Agent→再选Notifications。
3.在新窗口中,在每组不再需要使用的RAID管理服务器用鼠标右键选择DeleteSystem。
4.管理员关闭应用程序;注意:关闭RAID服务器是不需要重新启动。
注意:当产生一组全新、包含制造商地址之RaidNLst.ser后,请管理员务必通过程序手动修改新RaidNLst.ser,而非只是单纯地删除旧RaidNLst.ser文件。

B.在设定RAID管理服务方面,管理员关闭Cisco Unity服务器上所监听的TCP port 34571步骤:
1.开始(Start)菜单→指向设定(settings)→然后将鼠标光标移至控制台(ControlPanel)再选择服务(services)→选择ServeRAID Management Service。
2.选择ServeRAID Management Service→将ServeRAID Management Service属性改为关闭(disabled)服务。
3.到开始(Start)菜单→到程序区去(Programs)启动ServeRAID Manager→档案窗体键选择用户偏好再按选远程访问控制(remote access control)在开机模式(Startup Mode)底下检查本机端检查框(checkbox)。按ok、到产生结果对话框再按一下ok。之后,关闭应用程序。
同样地,上述方法也不需重新开机。假如RAID管理服务设定是局部使用,那么该缺陷就不会再出现。

3、关于DHCP服务器
假如在本地端没有DHCP服务器或没有指定一组静态IP地址给本地端DHCP服务器使用,那么Cisco Unity服务器会一直重复地送出封包、试图从制造商的测试网络环境中的DHCP服务器取得IP地址。一旦DHCP 服务器地址曾经在本机端上解析(resolve),那么Cisco Unity服务器登录档会更新文件中有关DHCP服务器IP地址、主机名称等信息,除此之外,就没有其它冲击再发生。

附加信息:




 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
  相关文章
·Microsoft Internet Explorer文
·Microsoft IIS服务跟踪日志绕过
·Sun安全公告:Sun ONE Applicati
·PlatinumFTPServer命令行参数格
·XSOK环境变量本地命令执行漏洞
·lftp Try_Squid_Eplf远程缓冲区
·Webcam Watchdog 存在缓冲溢出缺
·lftp Try_Netscape_Proxy远程缓
·Lotus Notes Domino 6.0.2(linux
·Cisco安全公告:Cisco防火墙新增
·Cisco安全公告:修正Cisco Acces
·Windows FTP Server存在格式串缺
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved