|
欢迎进入反病毒社区论坛,与技术人员互动交流进入
受影响系统:
Mldonkey Mldonkey 2.9
Mldonkey Mldonkey 2.8
Mldonkey Mldonkey 2.7
Mldonkey Mldonkey 2.6
Mldonkey Mldonkey 2.5-4
Mldonkey Mldonkey 2.5
不受影响系统:
Mldonkey Mldonkey 2.9.0-r3
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 26202 MLDonkey是一个开源的免费的多协议P2P下载应用程序。 MLDonkey在创建P2P用户时存在漏洞,远程攻击者可能利用此获取非授权的系统访问。 MLDonkey ebuild错误地对系统添加了p2p用户,而该用户口令为空且拥有有效的登录shell,因此攻击者可以利用这个漏洞登录到受影响的系统。成功攻击要求所安装的登录服务允许空口令,如配置了PermitEmptyPasswords yes选项的SSH、本地登录控制台或telnet服务器。 <*来源:Ramin
链接:http://secunia.com/advisories/27366/
http://bugs.gentoo.org/show_bug.cgi?format=multiple&id=189412
http://security.gentoo.org/glsa/glsa-200710-25.xml
*> 建议:
--------------------------------------------------------------------------------
临时解决方法: * 更改p2p用户的shell禁止登录,以root运行以下命令: # usermod -s /bin/false p2p 厂商补丁: Mldonkey
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://mldonkey.sourceforge.net/Main_Page
www.china-antivirus.com
|
