Дата публикации: | 09.06.2003 |
Дата изменения: | 17.10.2006 |
Всего просмотров: | 1744 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Уязвимость обнаружена в Apple's Mac OS X Server. Когда используется Kerberos login с LDAPv3 сервером, пароль пользователя передается в открытом виде.
Сообщается, что уязвима функция 'Login Window' с неустановленным атрибут 'AuthenticationAuthority’. Функция попытается подтвердить подлинность, используя зашифрованный пароль, и затем выполнит 'simple bind', который передает пароль в открытом виде. Пользователь, способный контролировать сетевой трафик между OS X сервером и LDAP сервером, может получить пароль в течении передачи. Уязвимость обнаружена в Mac OS X 10.2 Applе выпустил инструкцию, в которой описывается способ предотвращение обнаруженной проблемы: http://docs.info.apple.com/article.html?artnum=107579
|
Ссылки: | Mac OS X Server: How to Avoid Sending Clear Passwords in a Kerberos |