Novell ZENworks távoli irányítás jelszó hitelesítés biztonsági problémája

CH azonosító

CH-3427

Felfedezés dátuma

2010.08.03.

Súlyosság

Alacsony

Érintett rendszerek

Novell
ZENworks Desktop Management
ZENworks Server Management

Érintett verziók

Novell ZENworks Desktops 4.0.1
Novell ZENworks Desktop Management 7 SP1
Novell ZENworks Servers 3.0.2
Novell ZENworks Server Management 7 SP1

Összefoglaló

A Novell ZENworks Server és a Desktop Management biztonsági hibáját jelentették, melyet a támadók egyes biztonsági előírások megkerülésére használhatnak ki.

Leírás

A problémát az okozza, hogy az a felhasználó, aki hozzáféréssel rendelkezik a kezelt eszközhöz, egy másik eszköz távoli munkamenetéhez is hozzáférhet, ha mindkét kezelt eszközre ugyanaz a távoli adminisztrációt lehetővé tevő (Remote Management) jelszó van beállítva (pl. ha a közös jelszó NAL vagy TED útján került kiosztásra).

Megoldás

A forgalmazó javasolja a Remote Management szabályzatban a jelszóval történő hitelesítés letiltását (alapértelmezetten le van tiltva). Másik lehetséges megoldás, hogy a NAL vagy TED általi jelszó kiosztást csak megbízható környezetben alkalmazza.

Hivatkozások

Gyártói referencia: www.novell.com
Egyéb referencia: www.vupen.com
SECUNIA 40838