[公开漏洞]开源中国运维不当导致可随机登录用户并获取服务器敏感信息（成功登陆）

开源中国运维不当导致可随机登录用户并获取服务器敏感信息（成功登陆） 相关厂商： 开源中国 漏洞作者：H1d3r 提交时间：2014-04-08 21:32 公开时间：2014-05-23 21:33 漏洞类型：系统/服务运维配置不当 危害等级：高 自评Rank：10 漏洞状态： 厂商已经确认 漏洞来源：http://www.wooyun.org Tags标签： 无 漏洞详情 披露状态：

2014-04-08：细节已通知厂商并且等待厂商处理中
2014-04-08：厂商已经确认，细节仅向厂商公开
2014-04-18：细节向核心白帽子及相关领域专家公开
2014-04-28：细节向普通白帽子公开
2014-05-08：细节向实习白帽子公开
2014-05-23：细节向公众公开

简要描述：

开源中国运维不当导致可获取随机登录用户并获取服务器敏感信息

详细说明：

www.oschina.net

登录页面使用了OpenSSL，但该版本的存在漏洞，可以随机获取登录帐号、服务器敏感信息等。

漏洞证明：

利用漏洞获取到帐号1016728789@qq.com

密码虽然使用了md5 但是可以解开

解密md5后成功登录系统

修复方案：

如果服务器正在使用OpenSSL 1.0.1f，请务必立即升级到OpenSSL 1.0.1g。此外，1.0.1以前的版本不受此影响，但是1.0.2-beta仍需修复。

版权声明：转载请注明来源 H1d3r@乌云 漏洞回应 厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2014-04-08 22:25

厂商回复：

升级 OpenSSL 中

最新状态：

2014-04-09：已经升级 OpenSSL