当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-058608

漏洞标题:新网某VPS用户信息泄露影响千余用户安全

相关厂商:新网华通信息技术有限公司

漏洞作者: 不痛不痒

提交时间:2014-04-28 11:41

修复时间:2014-06-12 11:41

公开时间:2014-06-12 11:41

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-28: 细节已通知厂商并且等待厂商处理中
2014-04-28: 厂商已经确认,细节仅向厂商公开
2014-05-08: 细节向核心白帽子及相关领域专家公开
2014-05-18: 细节向普通白帽子公开
2014-05-28: 细节向实习白帽子公开
2014-06-12: 细节向公众公开

简要描述:

VPS泄露,请及时修改客户密码,加强密码安全==
——————————————————————————
我本人也尝试通过贵公司400直接告知,贵公司客服回复,我在开玩笑,贵公司不存在任何技术安全问题。并非我本人特意针对新网发布安全漏洞,作为白帽子,当发现安全隐患,及时告知是应该的。

详细说明:

我本人也尝试通过贵公司400直接告知,贵公司客服回复,我在开玩笑,贵公司不存在任何技术安全问题。
并非我本人特意针对新网发布安全漏洞,作为白帽子,当发现安全隐患,及时告知也是我们的义务。贵公司的客服,真让人汗颜,在此发布希望提醒、重视安全意识,针对贵公司服务如此……我本人将也不在披露任何针对贵机构任何漏洞隐患。。
泄露信息如下:
<code>ZWVM04-2K5JQ-04 *** 云主机-Windows2003-SQLServer2005 *** vD***
ZWVM04-2K5JQ-07 R***7u 尊享IV型-Windows2003-SQLServer2005 *** v**74
ZWVM04-2K5W2-01 ***9k 云主机-Windows2003-SQLServer2005 *** v**74
ZWVM04-W2-02-close-2014-04-22 H***3o 云主机-Windows2003-SQLServer2000 *** v***
ZWVM04-WJQ-01-close-2014-04-19 E**m 尊享IV型-Windows2003-SQLServer2000 *** v**4
ZWVM04-WJQ-02 L***y 尊享IV型-Windows2003-纯净 *** vD***4
ZWVM04-WJQ-03 G**s 云主机-Windows2003-SQLServer2000 *** v**74
ZWVM04-WJQ-04-close-2014-04-23 Y**g 尊享IV型-Windows2003-SQLServer2000 *** v**4
ZWVM05-W1-02-close-2014-04-20 X***d 尊享I型-Windows2003-SQLServer2000 *** v**58
ZWVM05-W1-04 up II **5m 尊享II型-Windows2003-SQLServer2000 *** v**
ZWVM05-W1-06-close-2014-04-24 M**f 云主机-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-07 R***Yl#u8l 尊享I型-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-09 T***u 尊享I型-Windows2003-SQLServer2000 1*** vD***
ZWVM05-W1-13 G***x 尊享I型-Windows2003-SQLServer2000 ***6 v***8
ZWVM05-W1-14-close-2014-04-25 R***t 尊享I型-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-15 F***x 云主机-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-17-close-2014-04-22 X***v 云主机-Windows2003-SQLServer2000 *** v***8
ZWVM05-W2-01-close-2014-04-23 C***a 云主机-Windows2003-SQLServer2000 *** ***8
ZWVM05-W2-03 O***1o 云主机-Windows2003-SQLServer2000 ***0 v***8
ZWVM05-W2-06 Jx***l 尊享II型-Windows2003-SQLServer2000 ***3 v***
ZWVM05-W2-07 L***n 尊享II型-Windows2003-SQLServer2000 *** ***58
ZWVM05-W2-08 U***9e 尊享II型-Windows2003-SQLServer2000 *** v***8
ZWVM05-W2-09-close-2014-04-23 K***k 尊享II型-Windows2003-SQLServer2000 *** vDA***
ZWVM05-W2-10 S*** 云主机-Windows2003-SQLServer2000 1*** ***
ZWVM05-W2-13-close-2014-04-03 Yn***4y 尊享II型-Windows2003-SQLServer2000 *** ***8
ZWVM05-W2-14 O***1i 尊享II型-Windows2003-SQLServer2000***1 v***
ZWVM05-W2-15-close-2014-03-23 H***x 尊享II型-Windows2003-SQLServer2000 1*** vD***
ZWVM05-W2-16-close-2014-03-23 E***q 尊享II型-Windows2003-SQLServer2000 *** vD***
ZWVM05-W2-17 Wq***q 尊享II型-Windows2003-SQLServer2000 1*** v***8
ZWVM05-W2-18 ***e 尊享II型-Windows2003-SQLServer2000 *** vD***
ZWVM06-2K5W2-02 B***c 尊享IV型-Windows2003-SQLServer2000 1*** v***
ZWVM06-2K5W2-03 X***i 云主机-Windows2003-SQLServer2005 1***1 v***9

漏洞证明:

<code>ZWVM04-2K5JQ-04 *** 云主机-Windows2003-SQLServer2005 *** vD***
ZWVM04-2K5JQ-07 R***7u 尊享IV型-Windows2003-SQLServer2005 *** v**74
ZWVM04-2K5W2-01 ***9k 云主机-Windows2003-SQLServer2005 *** v**74
ZWVM04-W2-02-close-2014-04-22 H***3o 云主机-Windows2003-SQLServer2000 *** v***
ZWVM04-WJQ-01-close-2014-04-19 E**m 尊享IV型-Windows2003-SQLServer2000 *** v**4
ZWVM04-WJQ-02 L***y 尊享IV型-Windows2003-纯净 *** vD***4
ZWVM04-WJQ-03 G**s 云主机-Windows2003-SQLServer2000 *** v**74
ZWVM04-WJQ-04-close-2014-04-23 Y**g 尊享IV型-Windows2003-SQLServer2000 *** v**4
ZWVM05-W1-02-close-2014-04-20 X***d 尊享I型-Windows2003-SQLServer2000 *** v**58
ZWVM05-W1-04 up II **5m 尊享II型-Windows2003-SQLServer2000 *** v**
ZWVM05-W1-06-close-2014-04-24 M**f 云主机-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-07 R***Yl#u8l 尊享I型-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-09 T***u 尊享I型-Windows2003-SQLServer2000 1*** vD***
ZWVM05-W1-13 G***x 尊享I型-Windows2003-SQLServer2000 ***6 v***8
ZWVM05-W1-14-close-2014-04-25 R***t 尊享I型-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-15 F***x 云主机-Windows2003-SQLServer2000 *** v***8
ZWVM05-W1-17-close-2014-04-22 X***v 云主机-Windows2003-SQLServer2000 *** v***8
ZWVM05-W2-01-close-2014-04-23 C***a 云主机-Windows2003-SQLServer2000 *** ***8
ZWVM05-W2-03 O***1o 云主机-Windows2003-SQLServer2000 ***0 v***8
ZWVM05-W2-06 Jx***l 尊享II型-Windows2003-SQLServer2000 ***3 v***
ZWVM05-W2-07 L***n 尊享II型-Windows2003-SQLServer2000 *** ***58
ZWVM05-W2-08 U***9e 尊享II型-Windows2003-SQLServer2000 *** v***8
ZWVM05-W2-09-close-2014-04-23 K***k 尊享II型-Windows2003-SQLServer2000 *** vDA***
ZWVM05-W2-10 S*** 云主机-Windows2003-SQLServer2000 1*** ***
ZWVM05-W2-13-close-2014-04-03 Yn***4y 尊享II型-Windows2003-SQLServer2000 *** ***8
ZWVM05-W2-14 O***1i 尊享II型-Windows2003-SQLServer2000***1 v***
ZWVM05-W2-15-close-2014-03-23 H***x 尊享II型-Windows2003-SQLServer2000 *** v***8

修复方案:

你懂的
泄露的信息较多,涉及的客户很多敏感核心利益,也会对公司产生一定的负面影响,请及时修复完整账户密码安全,设置上下游权限。并重置上述密码。

版权声明:转载请注明来源 不痛不痒@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-04-28 18:50

厂商回复:

非常感谢白帽子不痛不痒@乌云,小新正在玩命确认及修复中。

最新状态:

2014-06-19:漏洞已修复,非常感谢不痛不痒@乌云

漏洞评价:

评论

  1. 2014-04-28 12:10 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    客服傻的

  2. 2014-04-28 12:18 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    洞主怎么弄到的

  3. 2014-04-28 12:21 | Archers ( 普通白帽子 | Rank:178 漏洞数:41 | baby)

    新网这种小厂商提交了也会被忽略掉,还不如不提交

  4. 2014-04-28 14:42 | CNOS ( 路人 | Rank:20 漏洞数:6 | 小白一个)

    问出客服工号 然后开启电话录音 是对方说不存在任何技术安全问题的 所以后果应该也由对方自行承担

  5. 2014-05-18 22:27 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    如何泄漏的?

  6. 2014-05-18 22:27 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    不存在任何技术安全问题,哈哈

  7. 2014-05-20 20:32 | 不痛不痒 ( 实习白帽子 | Rank:58 漏洞数:6 | 技术是把双刃剑,我们要斩断黑暗!)

    @wefgod 安全不安全,越权不越权,我相信他们清楚,自己的产品,自己了解,不做评论!无厘头:母鸡不一定要下蛋,也可以直接宰了!

  8. 2014-05-20 22:03 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @不痛不痒 他们如何泄漏的?

  9. 2014-06-12 13:19 | 博丽灵梦 ( 路人 | Rank:13 漏洞数:7 | = =cf)

    贵公司不存在任何技术安全问题 神客服