|
Novell iManager (eMFrame 1.2.1) 拒绝服务攻击缺陷
涉及程序:
Novell iManager (eMFrame 1.2.1)
描述:
Novell iManager (eMFrame 1.2.1) 拒绝服务攻击缺陷
详细:
Novell iManager (eMFrame 1.2.1)是Novell的网络管理软件,但是由于缺乏正确的边界检查,
在进行身份验证时,如果递交的 userid 超过256个字符,系统将无法进行正确地处理,从而导致 eMFrame 拒绝服务.
受影响程序: 2002年7月16日以前发布的 eMFrame.jar, FwResources .properties 文件
Novell 为此缺陷已经提供了有效补丁.
攻击方法:
攻击者可精心构建一个请求身份验证的数据包,此数据包中的 userid 超过256个字符。
解决方案:
Novell 为此缺陷已经提供了有效补丁.建议用户事先验证程序是否需要安装此补丁,执行以下操作:
注意: 下面步骤中涉及的"webapps"目录是一个相对目录.缺省,当Netware操作系统安装 TomCat 时,"webapps"目录被直接放置在SYS卷下
(例,SYS:\webapps\eMFrame\WEB-INF\lib\). 当然"webapps"目录在程序初始安装时,管理员也可选择放置在其它任何地方。
用户可使用 Microsoft Windows NT/Windows 2000,在命令提示符下输入"set"将会显示一个路径陈述。在我们这个实例中,
路径陈述中会有一个目录"TomCat". "webapps" 目录就放置在"TomCat"目录下.
1. 进入下面的文件:
..\webapps\eMFrame\WEB-INF\lib\eMFrame.jar
2. 核对文件的修改日期,如果文件的日期显示是在2002年7月16日以前,补丁必须被安装。
3. 进入下面的文件:
..\webapps\eMFrame\WEB-INF\classes\templates\FwResources.properties
4. 核对文件的修改日期,如果文件的日期显示是在2002年7月16日以前,补丁必须被安装。
通过以上四步如果发现文件都已是老文件了,立即拷贝文件 eMFrame.jar 和 FwResources.properties
到运行 eMFrame 的服务器上(执行下面的操作):
1. 进入下面目录:
..\webapps\eMFrame\WEB-INF\lib\
2. 拷贝文件 eMFrame.jar 到上面第一步的“..\webapps\eMFrame\WEB-INF\lib\”目录下;
3. 进入下面目录:
..\webapps\eMFrame\WEB-INF\classes\templates
4. 拷贝文件 FwResources.properties 到上面第三步的“..\webapps\eMFrame\WEB-INF\classes\templates”目录下。
|