Sun Java System Identity Manager 帳戶洩漏
medium Nessus Plugin ID 38198
語系:
概要
遠端主機上執行的 Web 應用程式包含資訊洩露弱點。說明
遠端主機上執行的 Sun Java System Identity Manager 版本包含下列帳戶列舉弱點:- 根據是否提供有效的使用者名稱,嘗試登入失敗的錯誤訊息會有所不同。
- 根據 USERNAME 是否有效,要求 IDMROOT/questionLogin.jsp?accountId=USERNAME 會導致不同的結果。
遠端攻擊者可利用這些問題來列舉有效的使用者名稱,而這些名稱可用來掛載進一步攻擊。
還有其他已知與 Nessus 尚未測試的 Identity Manager 版本相關的問題。如需詳細資訊,請參閱Sun 安全公告 #253267。
解決方案
廠商已提供修補程式。其可修正其他不相關的弱點,但只能部分解決此問題。目前尚無已知的全面解決方案。另請參閱
http://blogs.sun.com/security/entry/sun_alert_253267_sun_java
Plugin 詳細資訊
嚴重性: Medium
ID: 38198
檔案名稱: sun_idm_acct_disclosure.nasl
版本: 1.19
類型: remote
系列: CGI abuses
已發布: 2009/4/28
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.0
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
CPE: cpe:/a:sun:java_system_identity_manager
可輕鬆利用: No exploit is required
修補程式發佈日期: 2009/3/19
參考資訊
CVE: CVE-2009-1075, CVE-2009-1076
BID: 34191