Oracle Passlogix v-GO Self-Service Password Reset未授权访问漏洞
CVE编号
CVE-2010-4506利用情况
暂无补丁情况
N/A披露时间
2011-02-08漏洞描述
Oracle Passlogix v-GO Self-Service Password Reset是一款自动windows密码重置解决方案,用户可直接从被锁的工作站外重置密码或对其windows帐户解锁。当用户点击登录窗口的按钮重置windows或AD密码,在允许重置前锁住的IE浏览器会显示表单要求回答问题。如果由于任何原因密码重置站点使用了非法SSL证书,结果浏览器会向用户提出警告,并询问是否接收,拒绝或查看细节。通过使用如下方法,用户可无需验证执行程序。当证书错误弹出时会显示三个标签:"General", "Details"和"Certification Path",选择"Details"标签,然后点击显示在底部右边的"Copy to File"按钮,这会出现"Certificate Export"向导。点击"Next >"按钮直至出现"File To Export"页面,此页面上有"Browse"按钮,点击后会显示"Save As"对话框允许用户浏览文件系统。这时可查找"explorer.exe"文件并右点此文件,选择"open"来运行应用程序。当SSL证书过期时可触发此漏洞,但通过中间人攻击,或系统设置更改为与当前证书不匹配的日期都可创建此利用条件。解决建议
用户可参考如下供应商提供的安全公告获得补丁信息:http://www.oracle.com/us/corporate/Acquisitions/passlogix/index.html受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | oracle | passlogix_v-go_self-service_password_reset_and_oem | 7.0 | - | |||||
- 攻击路径 本地
- 攻击复杂度 高
- 权限要求 无
- 影响范围 N/A
- 用户交互 需要
- 可用性 完全地
- 保密性 完全地
- 完整性 完全地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论