Chinaunix首页 | 论坛 | 博客

nas

  • 博客访问: 647769
  • 博文数量: 456
  • 博客积分: 10010
  • 博客等级: 上将
  • 技术积分: 6400
  • 用 户 组: 普通用户
  • 注册时间: 2008-05-08 16:08
文章分类

全部博文(456)

文章存档

2008年(456)

我的朋友

分类: 服务器与存储

2008-05-09 10:56:37

涉及程序:
Iomega NAS A300U?
 
描述:
Iomega NAS A300U 以明文形式传输用户ID和口令
 
详细:
Iomega NAS A300U 是一款企业级的网络区域存储解决方案。
Iomega NAS A300U 支持使用CIFS/SMP挂接驱动盘,但是默认情况下,却是使用明文LANMAN验证。攻击者可使用嗅探工具进行中间人攻击,劫获用户ID,口令等敏感信息。
另外,Iomega NAS A300U 在进行管理登录的时候,用户端发送的管理认证信息也都采用明文方式发送,同处本地网络段的用户可以通过嗅探通信数据获得管理员ID和口令。
目前虽然只在Unix平台下测试过,但估计其他平台也可能存在此缺陷。
 
 
攻击方法:
使用嗅探工具进行中间人攻击,劫获得用户ID,口令等敏感信息。
 
 
解决方案:
目前厂商还没有提供补丁或者升级程序,建议用户随时关注厂商的站点:
临时解决方案:
* 把NAS和管理工作平台放置在NAT防火墙后的网络中。
 
 
附加信息:
【转自】
阅读(413) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~