| CNNVD-ID编号 | CNNVD-200604-037 |
| CVE编号 | CVE-2006-1058 |
| 发布时间 | 2006-04-04 |
| 更新时间 | 2006-04-04 |
| 漏洞类型 | 设计错误 |
| 漏洞来源 | Gianstefano Monni gianstefano@lugnu.it |
| 危险等级 | 低危 |
| 威胁类型 | 本地 |
| 厂 商 | busybox |
pswd.js是一个客户端认证脚本。
pswd.js的认证实现方式上存在漏洞,远程攻击者可能利用此漏洞绕过认证。
在进行认证时pswd.js生成表单中所提交口令的哈希,然后检查所生成的哈希是否包含在其硬编码的向量中,如果是的话就将用户重新定向到安全的html页面。这种认证方式并不安全,允许攻击者使用通过暴力猜测预先计算出的口令哈希通过认证,非授权访问运行该脚本的应用程序。
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.web-link.it/scripting/2passwordmultiple.htm
来源: XF
名称: busybox-passwd-weak-security(25569)
来源: BID
名称: 17330
来源: SECUNIA
名称: 19477
来源: bugs.busybox.net
来源: REDHAT
名称: RHSA-2007:0244
来源: support.avaya.com
链接:http://support.avaya.com/elmodocs2/security/ASA-2007-250.htm
来源: SECUNIA
名称: 25848