Novell NetWare NDS域管理空口令漏洞

受影响的系统:
Novell Netware 5.1
Novell Netware 5.0SP5
Novell Netware 5.0

不受影响系统:

描述:

BUGTRAQ ID: 4012

Novell NetWare是Novell公司开发的一种网络服务器系统。

Novell NetWare在某种情形下允许非特权NDS用户用一个空口令访问NT域。

攻击者必须拥有一个合法NDS帐号。如果NDS树中一个NDS_ADM帐号拥有针对NT域的"Domain Admin"权限，但该帐号又非NT域帐号，此时非特权用户身份的攻击者有可能获取对NT域的完全控制。

这个问题有可能源自一次错误的用户权限配置。

<*来源：nobody （pentester@yahoo.com）

链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0392.html
*>

建议:

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 严格控制NDS帐号。把NDS帐号NDS_ADM的"admin rights on the NT Domain"选项去掉。