pcANYWHERE新的DOS方式

(2000-05-23 00:00 )(安络 )(不详 )
导读-- 我们先来回顾一下以前曾有人发现的pcANYWHERE的D.O.S缺陷......
  涉及程序:pcANYWHERE 8.0/9.0

  描述: CNNS安全公告2000-07/CNNS发现pcANYHWREE 8.0/9.0极易被D.O.S攻击而停止服务

  详细: 我们先来回顾一下以前曾有人发现的pcANYWHERE的D.O.S缺陷:

  对PC anywhere的攻击:在运行PCanywhere的机器上(常用于远程控制NT server的用途),有一个D.O.S攻击可以停止这个服务,并占用100%的CPU资源,方法如下:
  用Telnet连接对方的5631端口,将出现"Please press $#@60;Enter$#@62;"的提示,这时用粘贴工具,粘贴一大段垃圾字符(200K以上),Pcanywhere就会挂起.这些垃圾字符,你可以用记事本打开一个500K的DLL文件,copy所有字符过来即可。
  后果除了pcANYWHERE服务当掉外,系统的CPU占用率达到 100%
参见: http://www.securityfocus.com/vdb/bottom.html?vid=288

  现在我们来看一看CNNS发现的pcANYWHERE的新问题:
  在我们用pcANYWHERE客户端连接目标主机的时候,开始对话框的状态条将出现:
"pcANYWHERE connecting..."
  然后弹出登录对话框 这是正常的模式。
  但是,如果客户在登录对话框出现以前,也就是状态条为"pcANYWHERE connecting..."的时候,就按"Cancel"键取消连接,(动作必须很快,最好在waiting的提示的时候就按"取消"键)这时pcANYWHERE服务将出现异常,再用客户端连接的时候,pcANYWHERE的服务异常挂起,客户端会出现超时提示,无法正常连接。
服务挂起后,pcANYWHERE的5631端口仍然开放,但pcANYWHERE9.0 和 8.0有细微的差别。
  当我们用telnet连接8.0的5631端口时,会出现连接马上丢失的情况。而我们用telnet连接9.0的5631端口时,可能会出现如下现象:
c:\$#@62; telnet host 5631

}
Please press $#@60;Enter$#@62;...
  按回车键后,连接丢失,然后我们再用pcANYWHERE的客户端连接该主机的时候,我们发现连接又正常了。 :)
  也有的9.0的server和8.0一样,一旦连接上去,就会出现连接丢失。
  对于8.0,必须重新启动服务:
C:\$#@62; net stop awhost32
c:\$#@62; net start awhost32




解决方案
  我们已经向 Symantec 指出了该缺陷,但对方尚未做出回应

相关站点
http://www.norton.com/
  涉及程序:
pcANYWHERE 8.0/9.0

描述:
  CNNS安全公告2000-07/CNNS发现pcAN REE 8.0/9.0极易被D.O.S攻击而停止服务

详细:
  我们先来回顾一下以前曾有人发现的pcANYWHERE的D.O.S缺陷:

  对PC anywhere的攻击:在运行PCanywhere的机器上(常用于远程控制NT server的用途),有一个D.O.S攻击可以停止这个服务,并占用100%的CPU资源,方法如下:
  用Telnet连接对方的5631端口,将出现"Please press $#@60;Enter$#@62;"的提示,这时用粘贴工具,粘贴一大段垃圾字符(200K以上),Pcanywhere就会挂起.这些垃圾字符,你可以用记事本打开一个500K的DLL文件,copy所有字符过来即可。
  后果除了pcANYWHERE服务当掉外,系统的CPU占用率达到 100%
参见: http://www.securityfocus.com/vdb/bottom.html?vid=288

  现在我们来看一看CNNS发现的pcANYWHERE的新问题:
  在我们用pcANYWHERE客户端连接目标主机的时候,开始对话框的状态条将出现:
"pcANYWHERE connecting..."
  然后弹出登录对话框 这是正常的模式。
  但是,如果客户在登录对话框出现以前,也就是状态条为"pcANYWHERE connecting..."的时候,就按"Cancel"键取消连接,(动作必须很快,最好在waiting的提示的时候就按"取消"键)这时pcANYWHERE服务将出现异常,再用客户端连接的时候,pcANYWHERE的服务异常挂起,客户端会出现超时提示,无法正常连接。
服务挂起后,pcANYWHERE的5631端口仍然开放,但pcANYWHERE9.0 和 8.0有细微的差别。
  当我们用telnet连接8.0的5631端口时,会出现连接马上丢失的情况。而我们用telnet连接9.0的5631端口时,可能会出现如下现象:
c:\$#@62; telnet host 5631

}
Please press $#@60;Enter$#@62;...
  按回车键后,连接丢失,然后我们再用pcANYWHERE的客户端连接该主机的时候,我们发现连接又正常了。 :)
  也有的9.0的server和8.0一样,一旦连接上去,就会出现连接丢失。
  对于8.0,必须重新启动服务:
C:\$#@62; net stop awhost32
c:\$#@62; net start awhost32




解决方案
  我们已经向 Symantec 指出了该缺陷,但对方尚未做出回应

相关站点
http://www.norton.com/
责编:
订阅新闻邮件) (推荐) (打印) (关闭页面) (至顶) (我对此感兴趣
相关文章
天极社区邀请您:写博客日记  上传相片   论坛聊天  订阅电子杂志  彩信蚂蚁  推荐网摘  
笔名:
请您注意:

 遵守国家有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。

 天极网拥有管理笔名和留言的一切权利。