|
信息提供: |
安全公告(或线索)提供热线:51cto.editor@gmail.com |
|
漏洞类别: |
远程密码泄露漏洞 |
|
攻击类型: |
远程攻击 |
|
发布日期: |
2002-07-24 |
|
更新日期: |
2002-08-03 |
|
受影响系统: |
Apple MacOS X 10.1.5 Apple MacOS X 10.1.4 Apple MacOS X 10.1.3 Apple MacOS X 10.1.2 Apple MacOS X 10.1.1 Apple MacOS X 10.1 Apple MacOS X 10.0.4 Apple MacOS X 10.0.3 Apple MacOS X 10.0.2 Apple MacOS X 10.0.1 Apple MacOS X 10.0 |
|
安全系统: |
无 |
|
漏洞报告人: |
Randal L. Schwartz |
|
漏洞描述: |
BUGTRAQ ID: 5303 iDisk是一款免费硬盘空间服务系统,可通过WebDAV使用HTTPS进行验证。 MacOS工具Mail.app存在配置问题可泄露iDisk验证信息,远程攻击者可以利用这个漏洞通过嗅探客户端和Mac.com服务之间的网络通信获得验证信息。 iDisk服务的密码也可以使用在Mac.com服务中,而Mail.app应用程序使用与iDisk相同的密码,用户可以使用Mail.app从Mac.com中获取邮件,Apple iDisk的验证信息通过WebDAV使用HTTPS发送,以保证客户端和服务器端能加密通信,但是,Mail.app默认情况下与Mac.com通信时没有使用HTTPS进行加密通信等。 攻击者在获得验证信息的情况下,可以同时访问Mac.com和iDisk,当Mail.app使用默认配置与邮件服务器进行通信时,发送的验证信息没有进行正确的加密,攻击者可以嗅探网络通信而获得验证iDisk服务。 |
|
测试方法: |
无 |
|
解决方法: |
临时解决方法: |
相关文章
