涉及程序：
    SunPCi II VNC
    
    描述：
    SunPCi II VNC 弱授权机制
    
    
    详细：
    SunPCi II 是一款能在 Sun Sparc systems 上使用 Intel Celeron(赛扬）处理器运行微软 Windows 操作系统和应用程序的 PCI daughterboard 。
    
    Sun 对 AT&T 的优秀的远程控制工具软件 Virtual Network Computing (VNC) 的客户和服务端程序进行了改进。其中的一项就是对 VNC 客户端和服务端之间的授权进程的修改。
    
    但是修改后新的授权方案却使得攻击者如果在 VNC 客户端和 VNC 服务端之间的进行嗅探，有可能能够得到 VNC 口令（一个有效的 Solaris 口令）。一旦口令被发现，攻击者将能够获得对使用 VNC 或其它协议的系统的访问。缺省情况下， VNC 服务端是以 root 权限运行 X desktop 。
    
    下面是改进后的 VNC 软件源代码中提供的 readme 对修改前和修改后的验证代码的比较
    
    - --------------------------Start Quote--------------------------------
    The original authorization code worked as follows:
     Server-> password was read/decrypted from file
     Server-> sent random bytes to client
     Client-> get password from user
     Client-> reads random bytes from server
     Client-> encrypt random bytes with password
     Client-> write encrypted random bytes to server
     Server-> reads encrypted random bytes
     Server-> encrypts original random bytes using password from file
     Server-> compares encrypted random bytes
    
    The new authorization code works as follows:
     Server-> sent random bytes to client
     Client-> get password from user
     Client-> reads random bytes from server
     Client-> encrypt password with random bytes as key
     Client-> write encrypted password to server
     Server-> reads encrypted password
     Server-> decrypts encrypted password using random bytes as key
     Server-> gets password of current user from system
     Server-> encrypts password using user password as salt
     Server-> compares encrypted passwords
    - ---------------------------End Quote---------------------------------
    
    加密使用的是众所周知的 DES ，我们很容易就可以发现修改后反而使安全性降低了。 在最初的授权方案中要想反向加密是很困难的，因为加密密钥是不可能知道的。但是修改后的方案中服务端发送的加密密钥（随机数据）通过嗅探却是比较容易破解的。
    
    结论:
    虽然使用了加密技术，但是提供的这种方法并没有对在介质中以明文传输的口令增加任何安全性。相反，最初的 VNC 提供的方法反而更安全。
    
    Affected Technology: Solaris 2.6, 7, 8 Sparc PCI Platfroms using SunPCi 2.3
    Sun package: SUNWspvnc version 1.0
    
    
    
    攻击方法：
    暂无有效攻击代码
    
    解决方案：
    临时解决方案（至少应取其中一种）:
    
    a) 不要使用SUNWspvnc package提供的 VNC 软件；
    b) 使用初始的 VNC package 替换修改后的 VNC 软件；
    c) 仅仅将修改后的 VNC 软件用于安全通道 (i.e. ssl)。
    
    
    附加信息：
    无
    
    相关站点：
    http://archives.neohapsis.com/archives/bugtraq/2002-07/0031.html
　

主目录 分目录