HP TCP/IP Services for OpenVMS 用户名枚举漏洞

受影响系统：
HP TCP/IP Service 5.6
HP HP OpenVMS 8.3.Alpha
HP HP OpenVMS 8.3 Integrity
HP HP OpenVMS 8.2.Alpha
HP HP OpenVMS 8.2-1 Integrity
HP HP OpenVMS 7.3 -2 Alpha

IT资讯之家 www.it55.com

描述：
OpenVMS是企业级的集群操作系统，可运行在多个服务器平台上。

www.it55.com在线教程

OpenVMS的POP服务程序会根据用户所提供的用户名是否有效返回不同的响应，这允许攻击者枚举有效的POP用户名，导致敏感信息泄露。

OpenVMS的TCP/IP Services POP3邮件机制没有正确地执行入侵检测。如果pop客户端请求访问VMS POP服务器并提供了错误的用户名/口令，审计服务器不会记录这个事件，仅仅向OPCOM发送了简单的消息，但消息中没有包含有关请求来源的任何线索。因此，用户可以通过POP暴力猜测用户名。 45398 www.it55.com it55学习IT知识，享受IT生活 4dfkjn

厂商补丁：
HP
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://itrc.hp.com www.it55.com

（阅读次数：）