发布日期:2003-04-15
涉及
[url=/code/]程序[/url]
: FileMaker Pro 5.0版,6.0版/FileMaker Server 5.5版
详细描述: FileMaker Pro/Server 存在缺陷,能使
[url=/]攻击[/url]
者获得目标
[url=/code/sql/]数据库[/url]
的密码列表,并阅读或更改
[url=/code/sql/]数据库[/url]
所包含的敏感数据。 FileMaker Pro通过TCP/IP使用专用
[url=/]网络[/url]
协议实现服务器和多个用户
[url=/code/sql/]数据库[/url]
之间进行共享,服务器利用该协议的专用属性对客户进行验证,比如确认密码。由于该协议自身输入缺乏完整分析,在
[url=/]网络[/url]
通信期间,
[url=/]攻击[/url]
者能从服务器获得密码列表。 缓解因素:
·禁止“multi user”或“TCP/IP”访问FileMaker
[url=/code/sql/]数据库[/url]
。
·如果必须通过FileMaker实现
[url=/]网络[/url]
共享,需要使用适当的防火墙装置只允许信任的
[url=/jsj/system/]系统[/url]
访问FileMaker Pro主机和
[url=/jsj/system/]系统[/url]
。外部访问能通过VPN或者TCP通道软件进行处理。
解决方案: 厂商将推出FileMaker最新版本以修正该缺陷,请用户及时关注厂商站点:
http://www.filemaker.com/
[url=java:copyUrl(]
复制地址,推荐给QQ、MSN上的好友[/url]
[url=/bbs/]
进入黑客手册技术论坛和大家一起讨论[/url]
