|
|
|
|
 |
|
|
|
|
 |
 |
|
 |
|
|
| pcANYWHERE新的DOS方式 (APP,缺陷) | | | | 涉及程序: | | pcANYWHERE 8.0/9.0 | | | | 描述: | | CNNS安全公告2000-07/CNNS发现pcANYHWREE 8.0/9.0极易被D.O.S攻击而停止服务 | | | | 详细: | 我们先来回顾一下以前曾有人发现的pcANYWHERE的D.O.S缺陷:
对PC anywhere的攻击:在运行PCanywhere的机器上(常用于远程控制NT server的用途),有一个D.O.S攻击可以停止这个服务,并占用100%的CPU资源,方法如下:
用Telnet连接对方的5631端口,将出现"Please press <Enter>"的提示,这时用粘贴工具,粘贴一大段垃圾字符(200K以上),Pcanywhere就会挂起.这些垃圾字符,你可以用记事本打开一个500K的DLL文件,copy所有字符过来即可。
后果除了pcANYWHERE服务当掉外,系统的CPU占用率达到 100%
参见: http://www.securityfocus.com/vdb/bottom.html?vid=288
现在我们来看一看CNNS发现的pcANYWHERE的新问题:
在我们用pcANYWHERE客户端连接目标主机的时候,开始对话框的状态条将出现:
"pcANYWHERE connecting..."
然后弹出登录对话框
这是正常的模式。
但是,如果客户在登录对话框出现以前,也就是状态条为"pcANYWHERE connecting..."的时候,就按"Cancel"键取消连接,(动作必须很快,最好在waiting的提示的时候就按"取消"键)这时pcANYWHERE服务将出现异常,再用客户端连接的时候,pcANYWHERE的服务异常挂起,客户端会出现超时提示,无法正常连接。
服务挂起后,pcANYWHERE的5631端口仍然开放,但pcANYWHERE9.0 和 8.0有细微的差别。
当我们用telnet连接8.0的5631端口时,会出现连接马上丢失的情况。而我们用telnet连接9.0的5631端口时,可能会出现如下现象:
c:\> telnet host 5631
}
Please press <Enter>...
按回车键后,连接丢失,然后我们再用pcANYWHERE的客户端连接该主机的时候,我们发现连接又正常了。 :)
也有的9.0的server和8.0一样,一旦连接上去,就会出现连接丢失。
对于8.0,必须重新启动服务:
C:\> net stop awhost32
c:\> net start awhost32
经本站授权,全世界最大的网络安全数据库 Securityfocus将该发现公布在其网站上:
http://www.securityfocus.com/vdb/bottom.html?section=credit&vid=1095
| | | | 解决方案: | 我们已经向 Symantec 指出了该缺陷,对方以发布安全补丁
请前往以下网址下载并安装补丁
http://www.symantec.com/techsupp/files/pca/pca9-9598nt.html | | | | 相关下载: | | http://www.symantec.com/techsupp/files/pca/pca9-9598nt.html | | | | 相关站点: | | http://www.norton.com/ | | | | 发布时间:2000年4月9日 | 返回 | | 版权所有,如需转载,请与安络联系 |
|
|
|
|
|
|
|
|
|
