Дата публикации: | 04.06.2003 |
Всего просмотров: | 1362 |
Опасность: | Низкая |
Наличие исправления: | Нет |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Локальная |
Воздействие: | Раскрытие важных данных |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Gator eWallet 4.x |
Описание: | Lorenzo Manuel Hernandez Garcia-Hierro сообщает, что Gator eWallet раскрывает номера кредитных карт и пароли локальным пользователям. Также резервные сервера Gator Corporation раскрывают некоторую пользовательскую информацию удаленным пользователям.
Gator eWallet хранит частную информацию, в которой может содержаться номера кредитных карт и пароли, на целевом компьютере пользователя без какого-либо шифрования. Информация Gator eWallet хранится в следующих файлах на системе: mepgh.dat mepcme.dat meprca.dat mepcmeft.dat GMT.exe.manifest meperr.dat mepgus.dat mepoe m.dat mepsnd-gs.dat mepsnd-ksa.dat mepcat.dat sitehash4.datТакже сообщается, что удаленный пользователь может получить файлы данных пользователя с резервных Gator серверов. Пример: GET /scripts/xx/xxY.com.ffz HTTP/1.0 Accept: */* X-UA: WinInet 6.0.xxxx.1, 1.1, 1.0 If-Modified-Since: Thu, 06 Apr 2000 20:00:06 GMT User-Agent: Gator/4.1 Script 0 SLRetries: 1 SL-LastServer: xx.gator.com SL-LastErr: 12152 SL-LastErr: 12152 From: [SPOOFED USER /REQUEST ID] Script-Version: 0.4 Product-Version: 4.1.2.5 SL-Version: 2 RunMode: 2 Host: xxbackup.gator.com Connection: openГде xx – первые два символа данных пользователя домена и 'Y' – сохраненные символы в домене. 'ffz' - расширение файла файлов сценария, используемых резервным сервером. |
Ссылки: | Gator eWallet Insecure User Data files Encryption and Gator BackUp / Banner Server Access/File retrieving |