| CNNS安全公告2000-02---PcAnywhere的漏洞 (APP,缺陷) |
| |
| 涉及程序: |
| Symantec PcAnywhere/WindowsNT/9x |
| |
| 描述: |
| PcAnywhere远程控制模块缺省设置容易导致安全漏洞 |
| |
| 详细: |
1、pcAnywhere将缺省的连接控制"Remote Control"的安全选项设置为"Lower Encryption",使人以为,虽然是较低加密,但是至少有加密的功能,这造成很多人误以为pcAnywhere的远程控制比Telnet和FTP安全。本站安全人员通过嗅探技术发现,PcAnywhere 8.0的客户端和服务器的连接(9.0未测试,也可能一样),在缺省情况下密码也完全是以明文发送,除非手工更改设置,否则,用户名和密码可以被恶意用户嗅探到,从而导致他可以完全非法地控制整个系统;
2、PcAnywhere 8.0及以下,如果运行受控主机的服务(PcAnywhere host service),其缺省状态下,是无须密码就可以登录的。这样就造成远程用户无须输入用户名和密码就可以远程控制整个系统。除非手工设置caller,否则只要打开服务,该漏洞必然存在。 |
| |
| 解决方案: |
1、在client端的security options属性中,启动(Enable)"Deny lower encryption level"的选项
2、在设置完"Be a Host PC"的选项后,一定要设置"caller"选项
PcAnywhere9.0对此有提示。 |
| |
| 安全建议: |
| 对于远程在线的NT服务器,千万不要忘记设置屏幕保护程序,使它在Idle了一段时间后自动锁定工作站 |
| |
| 附加信息: |
| 本安全建议由CNNS.net独家发布,转载请注明出处/CNNS安全公告2000-02 |
| |
| 相关站点: |
| http://www.cnns.net |
| |
| 发布时间:2000年2月25日 |
返回 |
| 版权所有,如需转载,请与安络联系 |
