Wind River VxWorks INCLUDE_SECURITY功能信任管理漏洞

---

基本信息

时间： 2010-08-05

风险等级： 高

CNVD： CNVD-2010-3890

原地址： https://www.cnvd.org.cn/flaw/show/CNVD-2010-3890

---

描述

WindRiverVxWorks6.x,5.x和之前版本中的INCLUDE_SECURITY功能使用LOGIN_USER_NAME和LOGIN_USER_PASSWORD(又称LOGIN_PASSWORD)参数创建硬编码凭证。远程攻击者可以借助(1)telnet,(2)rlogin或者(3)FTP会话更容易获取权限。

产品

WindRiverSystemsVxWorks6.5through6.9

解决方案

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.windriver.com/

CVE

CVE-2010-2966

来源

http://www.kb.cert.org/vuls/id/840249