Страница 1 из 1

ВНИМАНИЕ: Дыра в NW Management Portal (Remote Manager)

СообщениеДобавлено: 29 сен 2002, 16:51
Юрий Беляков
Уязвимость была обнаружена Сергеем Колтогяном, проверена им и мной в различных конфигурациях.

Суть проблемы: любой контейнерный администратор (пользователь в дереве с правами создания пользователей и правами изменения свойств пользователя) может получить через портал доступ к серверу с правами этого сервера (т. е. полный доступ ко всей файловой системе и управлению сервером). Используя утилиты для восстановления пароля в принципе возможно получить все права на NDS (зависит от версии NDS).

Тесты проводились на NW5.1+SP4(SP5)+eDir 8.5.1 (8.6.2); чистая NW6; NW6+SP2+eDir 8.6.2

Более подробная информация не приводится по понятным причинам. В ближайшее время либо Сергей, либо я свяжемся с Novell.

СообщениеДобавлено: 01 окт 2002, 07:14
Юрий Беляков
Надо же, ответили новеловцы... Ждите патчей...

Thank you for your Security Alert report. We have just identified and
fixed a very similar NetWare Remote Manager (Portal) issue in eDir 8.5 &
eDir 8.6. We are testing now to see if it covers this issue as well.
It should. I will update you with our findings by tomorrow, and we
should have a patch coming out tomorrow as well.


As far as we can tell this issue is resolved with the new eDir patches.
The 8.6.x patch is available now as fields test if you would like to
test it:

Go to support.novell.com > files and patches > edir862sp2a.exe

The 8.5.x patch should be available tomorrow. Not sure what the patch
name will be yet. If you sign up on the security alerts list server you
will be notified when it is available.

СообщениеДобавлено: 01 окт 2002, 08:27
Михаил Григорьев
Будем ждать.... А пока сидим без портала.... Скучно.... :cry:

Чувство сопричастности :)

СообщениеДобавлено: 01 окт 2002, 20:57
skoltogyan
Небыла нигроша, да вдруг алтын :)

Попробовал, что прислали из Novell.

Тьфу.. тьфу.. :)

Ждемс теперь официальных проявлений.