漏洞关键信息 漏洞描述 漏洞类型: 配置文件权限不当 受影响组件: iSCSI 配置文件 问题: 配置文件 默认设置为世界可写,并且没有提及保护其免受攻击者读取的重要性,这会暴露存储在该文件中的明文密码。 分析 影响: 任何需要存储明文密码的认证系统都应小心审计,以确保密码得到妥善保护。此问题可能影响许多包,从 NTP 和 BIND 到 iSCSI。 检测 方法: 检查 文件的权限。 - 文件应由用户和组 root 拥有。 - 仅根用户应被授予文件的读写访问权限。 - 所有其他权限应被移除,文件权限应为 。 厂商响应 Red Hat: 确认在 Limbo Beta 版本中 文件被设置为世界可读,并将在下一版 Red Hat Linux 中修复。 SuSE: 确认 文件权限设置正确。 Cisco: iSCSI for Linux 是外部项目,没有其他主要 Linux 厂商发布此包。 发现者 发现者: Kurt Seifried (kurt@seifried.org) 披露时间表 2002 年 7 月 11 日: 问题在 Red Hat Linux Limbo Beta #1 中发现,初步联系 Red Hat、SuSE 和 Cisco。 2002 年 7 月 12 日: SuSE 确认文件模式默认为 600,不脆弱。给 Cisco 的 Matthew Franz 发送邮件,无回复。 2002 年 7 月 17 日: iDEFENSE 客户披露。 2002 年 7 月 29 日: 问题在 Red Hat Limbo Beta #2 中确认,再次联系 Red Hat,无回复。 2002 年 8 月 6 日: Linux iSCSI 未更新,网站上未提及问题。 2002 年 8 月 8 日: 公共顾问发布。