基于微软Windows平台的X Server缺省配置漏洞

发布日期：2000-06-29
更新日期：2000-06-29

受影响系统：

Hummingbird Exceed 6.1
Hummingbird Exceed 6.0.2
Hummingbird Exceed 6.0.1

描述：

---

Hummingbird Exceed 6.1/6.0.1/6.0.2是常用的Windows平台下的X server仿真程序。
上述基于微软Windows平台的X Server常常用于使用远程Unix主机上的X Client，比
如NetScape。但是大多数情况下这些基于Windows平台的X Server的缺省安全设置相
当于基于Unix平台的X Server执行过xhost 命令后的状态，显然这是一个著名的安
全隐患，一个X Client有可能截获另一个X Client的击键以及其他信息，包括用户
名/口令，还有可能直接向另一个X Client发送消息。

注意这个漏洞不是软件本身代码设计的问题，而是缺省配置不当。

<* 来源：Brian Shuhart shuhartb@ritchie.disa.mil *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

这是作者提供的一份文档，介绍了关于利用这个漏洞的技术细节，感兴趣的朋友可以
自行参看：http://www.ducktank.net/tips/X.html



建议：

---

限制可连结的X client 来源。
这些X Server可以配置成类似Unix系统下xhost <hostIp>效果。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有