深信服插件会自动创建默认用户 | wooyun-2012-07533| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-07533

漏洞标题：深信服插件会自动创建默认用户

漏洞作者：认真

提交时间：2012-05-25 21:58

修复时间：2012-07-09 21:59

公开时间：2012-07-09 21:59

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2012-05-25：细节已通知厂商并且等待厂商处理中
2012-05-30：厂商已经确认，细节仅向厂商公开
2012-06-09：细节向核心白帽子及相关领域专家公开
2012-06-19：细节向普通白帽子公开
2012-06-29：细节向实习白帽子公开
2012-07-09：细节向公众公开

简要描述：

安装深信服插件会自动创建一个深信服的系统帐号，可能对系统有风险

详细说明：

安装深信服插件，会自动创建一个系统帐号，帐号权限为系统管理员权限！
账户名为：__Ingress

漏洞证明：

可以通过此用户登录任何装有深信服插件的电脑！

如果共享服务没关闭的话可以通过此用户访问安装有深信服的电脑！

修复方案：

待厂商修复

版权声明：转载请注明来源认真@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2012-05-30 16:49

厂商回复：

该漏洞属实，属于4.0版本后为了某些新增功能需求所增加的设计，未充分考虑新增内置帐号所带来的风险，已通过补丁方式进行修复，感谢反馈！

漏洞评价：

2012-05-26 00:14 | ubuntu ( 普通白帽子 | Rank:148 漏洞数:12 | 一切皆有可能……)

My God,是个大后门呀!
2012-05-26 10:03 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

深信服肿么了
2012-05-26 10:49 | 采飞扬 ( 路人 | Rank:14 漏洞数:6 | 很显老的一个人:))

重要的密码是多少？哈哈
2012-05-26 11:04 | 认真 ( 路人 | Rank:10 漏洞数:2 | 一个菜鸟而已)

密码用pwdump7 读吧！剩下的事你懂的！
2012-05-26 14:13 | 我真的不帅 ( 路人 | Rank:19 漏洞数:7 | 今朝有酒今朝醉,天道茫茫何所求)

什么叫做不负责任的企业？
2012-05-26 14:29 | ubuntu ( 普通白帽子 | Rank:148 漏洞数:12 | 一切皆有可能……)

@认真八嘎
2012-05-26 14:33 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

@认真暴露了。。
2012-05-26 21:42 | Z-0ne ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究，工业数据采集...)

@认真你知道的太多了。。。。。。=。=
2012-06-30 00:26 | Moments ( 实习白帽子 | Rank:55 漏洞数:10 | 2)

@认真密码用pwdump7读？就是说要有管理员或系统权限的登录凭证..?密码是随机生成还是固定的
2012-06-30 05:25 | 认真 ( 路人 | Rank:10 漏洞数:2 | 一个菜鸟而已)

密码是固定的，此漏洞官方以修复！
2012-07-04 11:10 | 采飞扬 ( 路人 | Rank:14 漏洞数:6 | 很显老的一个人:))

@认真固定的密码是什么哈？
2012-07-09 22:59 | El4pse ( 路人 | Rank:29 漏洞数:7 | 世界上从来没有不可能这几个字，可不可能完...)

密码应该随机的吧。。可以找下规则
2012-07-09 23:38 | Kaier ( 路人 | Rank:11 漏洞数:1 )

固定密码？勒个去，这个威武了、
2012-09-14 09:43 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

膜拜呀

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-07533

漏洞标题：深信服插件会自动创建默认用户

相关厂商：深信服

漏洞作者：认真

提交时间：2012-05-25 21:58

修复时间：2012-07-09 21:59

公开时间：2012-07-09 21:59

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源认真@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-07533

漏洞标题：深信服插件会自动创建默认用户

相关厂商：深信服

漏洞作者： 认真

提交时间：2012-05-25 21:58

修复时间：2012-07-09 21:59

公开时间：2012-07-09 21:59

漏洞类型：账户体系控制不严

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2012-07533"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 认真@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：认真

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源认真@乌云