发布日期：2007-07-03
更新日期：2007-07-04

受影响系统：
HP TCP/IP Service 5.6
HP HP OpenVMS 8.3.Alpha
HP HP OpenVMS 8.3 Integrity
HP HP OpenVMS 8.2.Alpha
HP HP OpenVMS 8.2-1 Integrity
HP HP OpenVMS 7.3 -2 Alpha
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 24751

OpenVMS是企业级的集群操作系统，可运行在多个服务器平台上。

OpenVMS的POP服务程序会根据用户所提供的用户名是否有效返回不同的响应，这允许攻击者枚举有效的POP用户名，导致敏感信息泄露。

OpenVMS的TCP/IP Services POP3邮件机制没有正确地执行入侵检测。如果pop客户端请求访问VMS POP服务器并提供了错误的用户名/口令，审计服务器不会记录这个事件，仅仅向OPCOM发送了简单的消息，但消息中没有包含有关请求来源的任何线索。因此，用户可以通过POP暴力猜测用户名。

<*来源：JF Mezei

链接：http://secunia.com/advisories/25882/
http://groups.google.com/group/comp.os.vms/browse_thread/thread/a5f68773805f862d/8a42e91fe1e9cd36#
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

HP
--
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://itrc.hp.com
【绿盟授权51CTO.COM 独家报道，未经书面许可不得转载！】