HP TCP/IP Services for OpenVMS用户枚举和安全绕过漏洞

HP OpenVMS是一款基于*nix的操作系统。

HP OpenVMS下的TCP/IP服务存在用户枚举和安全绕过问题，远程攻击者可以利用漏洞获得合法用户名和进行暴力攻击。

当POP客户端请求访问VMS POP服务器(Alpha VMS 8.3, TCPIP Services 5.6)提供不正确用户名和密码，这个事件没有记录到审核服务器中。发送不包含原始请求任何信息的消息给OPCOM。因此攻击者可以通过暴力攻击进行猜测而不受审核。

另外通过USER命令，可通过返回的-ERR或+OK信息来枚举正确的用户名信息。

HP TCP/IP Service 5.6
HP OpenVMS 7.3 -2 Alpha
HP OpenVMS 8.3.Alpha
HP OpenVMS 8.3 Integrity
HP OpenVMS 8.2.Alpha
HP OpenVMS 8.2-1 Integrity
目前没有详细漏洞解决方案提供：

<a href=“http://h71000.www7.hp.com/” target=“_blank”>http://h71000.www7.hp.com/</a>