Security Lab

Обход ограничений множественной авторизации в Entrust Authority Security Manager

Дата публикации:10.04.2003
Всего просмотров:1015
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная
Воздействие: Неавторизованное изменение данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Entrust Authority Security Manager 6.0
Описание: Уязвимость обнаружена в Entrust Authority Security Manager. Одиночный авторизованный локальный пользователь, который является авторизованным "master" пользователем, может выполнять действия, которые требуют, чтобы пользователь владел множественными “master” разрешениями.

CERT сообщил, что заверенный “ master ” пользователь может изменить пароль другого master пользователя, и может тогда (зная, два главных master пароля) выполнять действиями, которые обычно требуют, чтобы пользователь владел множественными “master” разрешениями.

Согласно сообщению, удаленный заверенный пользователь с "master user" привилегиями может использовать инструмент командной строки, чтобы изменить пароль другого master пользователя. Как сообщается, это нельзя сделать через GUI интерфейс программы.

Entrust Authority Security Manager 6.0

Ссылки: Entrust Authority Security Manager