当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07911

漏洞标题:新华社多媒体数据库认证授权与计费系统弱口令(补充)

相关厂商:新华社

漏洞作者: 刺刺

提交时间:2012-06-05 23:27

修复时间:2012-07-20 23:28

公开时间:2012-07-20 23:28

漏洞类型:服务弱口令

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-05: 细节已通知厂商并且等待厂商处理中
2012-06-08: 厂商已经确认,细节仅向厂商公开
2012-06-18: 细节向核心白帽子及相关领域专家公开
2012-06-28: 细节向普通白帽子公开
2012-07-08: 细节向实习白帽子公开
2012-07-20: 细节向公众公开

简要描述:

刚刚看到北洋舰队的:http://www.wooyun.org/bugs/wooyun-2012-06451
以为人家已经报告了,就没有继续,结果不是,并且看到这个都有6个rank,于是就补充一下,希望能有10个rank……呵呵

详细说明:

aaa(3A)认证部署在tongweb 5.0上,存在默认口令。
http://202.84.17.97:7777/twns/login.jsf
twns
twns

漏洞证明:


这是aaa的部署。
这里还能干什么,我就不描述了。

修复方案:

1. 如果可以的话,最好先改一下密码,如果你不清楚,建议咨询一下东方通的技术人员;
2. 如果可以的话,屏蔽控制台的访问端口,如果你不明白,询问一下SA,看能不能在防火墙上做点手脚;
3. 如果可以的话,建议wooyun多给评点rank,如果你不愿意的话,那就算了,做好前两条吧。

版权声明:转载请注明来源 刺刺@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-06-08 09:17

厂商回复:

CNVD确认漏洞情况,对于同一网段的主机虽不能认定目标系统所属单位,仍将转由CNCERT尝试协调涉事单位处置。
参考http://www.wooyun.org/bugs/wooyun-2012-06451,根据刺刺提供的线索,rank 10

最新状态:

暂无