“特别制作的用户名”打开了招致失败的大门。

McAfee公司的企业安全管理器(简称ESM)需要立即进行修复,而且相信睿智的大家在运营中已经知道,这是因为其中存在着管理员层级的验证回避问题。

McAfee公司在其官方建议中指出,“如果企业安全管理器被配置为使用Active Directory或者LDAP”,那么“某个特别制作的用户名”能够在无需验证、亦无需输入任何密码的前提下直接绕开其安全信息&事件管理登录流程。

这意味着攻击者将能够借此访问NGCP——即在初始安装时企业安全管理器所创建的默认用户名——而不会被要求检查NGCP创建时为其分配的密码内容。

目前该bug已经被标记为CVE-2015-8024,其影响范围包括“McAfee企业安全管理器(简称ESM)、企业安全管理器/登录管理器(简称ESMLM)以及企业安全管理器/接收器(间称ESMREC)在9.3.2MR19版本之前的全部9.3.x版本,9.4.2MR9之前的全部9.4.x版本以及9.5.0MR8之前的全部9.5.x版本。当被配置使用Active Directory或者LDAP验证源时,其将允许远程攻击者通过登录‘NGCP|NGCP|NGCP;’外加任意密码绕开验证流程”,这份公告指出。

如果大家无法立即对该软件进行更新,那么目前的解决办法是在企业安全管理器当中禁用全部Active Directory以及LDAP验证源。

不过最好的办法仍然是点击此处从官方公告当中获取更新链接并进行修复(英文原文)。

作者:杨昀煦/编译

来源:51CTO

McAfee安全管理器允许任何用户绕过管理器的安全机制相关推荐

  1. Firefox 的用户脚本管理器 greasemonkey 的使用一例

    一.什么是greasemonkey Firefox 的用户脚本管理器 greasemonkey 使你可以向任何网页添加DHTML语句(用户脚本)来改变它们的显示方式.就像CSS可以让你接管网页的样式, ...

  2. 浏览器用户脚本管理器(Tampermonkey)

    文章目录 脚本管理器的好处是什么? 用户脚本管理器有哪些? 如何使用? 安装脚本示例 常用脚本 脚本管理器的好处是什么? 用户脚本管理器将在您的用户脚本管理方面提供更多的便利. 它提供了诸如便捷脚本安 ...

  3. 备受欢迎的用户脚本管理器插件TampermonKey-油猴脚本管理器安装与使用

    Tampermonkey简介 Tampermonkey是一款备受欢迎的浏览器扩展和用户脚本管理器,它适用于目前各种主流浏览器. 方便的脚本管理(正在运行的脚本和可以运行的脚本在图标处显示一览无余) 脚 ...

  4. Chrome用户脚本管理器-Tampermonkey 油猴

    Tampermonkey 是一款免费的浏览器扩展和最为流行的用户脚本管理器,它适用于 Chrome, Microsoft Edge, Safari, Opera Next, 和 Firefox. 虽然 ...

  5. Tampermonkey用户脚本管理器

    Chrome-Tampermonkey 各式各样的扩展插件已经成了Chrome的强大之处,油猴成为了这些脚本的中的佼佼者. 这就要提一下什么是用户脚本了? 我们经常会遇到.user.js格式的文件,其 ...

  6. Android布局管理器-使用TableLayout表格布局管理器实现简单的用户登录页面

    场景 Android布局管理器-使用FrameLayout帧布局管理器显示层叠的正方形以及前景照片: https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article ...

  7. java中布局管理器flowlayout_JAVA基础:FlowLayout布局管理器

    在前面的例子中,使用到了FlowLayout布局管理器.FlowLayout型布局管理器对容器中组件进行布局的方式是将组件逐个地安放在容器中的一行上.一行放满后就另起一个新行. FlowLayout有 ...

  8. java的线程管理器,QuickThread - Java线程池管理器

    QuickThread 特性 任务扩展:支持延迟任务以及异步回调任务; 回调通知:当任务启动时与任务运行完毕后,有分别的生命周期作为通知; 线程切换:可制定是否回调主线程; 使用安全:当线程出现异常. ...

  9. Linux软件管理器(如何使用软件管理器来管理软件)

    我们的Linux系统大部分都是某个Linux厂商的系统,所以这些厂商可以编译好一些软件来提供用户下载,用户下载完了之后就可以直接安装,从而省去了编译源码及其过程中的各种问题.这时我们就可以使用相应的软 ...

最新文章

  1. Otter-入门篇4(单向同步实践)
  2. 用计算机模拟物理学,计算机模拟技术在医学物理学教学中的应用研究.pdf
  3. webstrom js 代码不高亮
  4. ef1a启动子_常见的真核和原核表达系统的启动子(promoters)
  5. 【leetcode】Set Matrix Zeroes(middle)
  6. 不同系统可以用一个数据库服务器吗,同一个数据库 不同服务器吗
  7. Go在招聘中最吃香,安全工程师薪资涨幅最高 | 软件工程师年度报告出炉
  8. AI安全隐患凸显,行业安全生态迫在眉睫
  9. crontab——Linux 下的定时任务
  10. m3 pcb开孔 螺丝_螺丝过孔工艺孔底孔尺寸参照表
  11. c语言输入相应的成绩评定信息,C语言上机练习题记答案.doc
  12. python——xlwt
  13. 高级Java程序员必备:《IDEA问题库》常见问题及解决方案,提升开发效率2(JAVA 小虚竹)
  14. 报表FineReport中单元格中各种颜色的标识说明
  15. 苹果6p计算机在哪里设置方法,苹果手机怎么设置铃声【图文教程,不用电脑,1分钟完成】...
  16. 蘑菇街网站的扫二维码登录是怎么做到的?
  17. WPF教程(二) WPF vs WinForms
  18. C#调用迅雷ThunderAgentLib.dll批量添加下载任务
  19. NC WebService开发参考
  20. python:将汉字转换为拼音

热门文章

  1. 我眼中的性能测试工程师
  2. python学习手记 pt1
  3. MFC初探 —— 子窗体相对于显示屏位置固定
  4. 对话框响应WM_KEYDOWN消息
  5. 大数据之-Hadoop3.x_MapReduce_MapJoin案例完成---大数据之hadoop3.x工作笔记0134
  6. SELECT list is not in GROUP BY clause and contains nonaggregated column---Linux工作笔记049
  7. C++_类和对象_C++运算符重载_赋值运算符重载_利用深拷贝实现对象深度赋值运算---C++语言工作笔记058
  8. AndroidStudio_android使用自己封装的消息队列处理问题_封装LinkedQueue---Android原生开发工作笔记242
  9. Vue指令_常用vue指令_自定义全局指令_自定义局部指令---vue工作笔记0016
  10. SpringCloud工作笔记077---SpringBoot中使用JPA操作数据库