华硕ASMB5-iKVM的漏洞使用无证, 隐藏的root shell帐户

虽然工作我的华硕服务器, 我发现无证根shell帐号目前没有出现在Web界面上的华硕ASMB5-iKVM的远程模块上. 令人难以置信的是, 我能有个匿名root帐户登录系统，查看所有其他帐户的密码，因为它们存储在纯文本.

这是华硕的部分安全疏忽.

这个漏洞是所谓固定在固件版本 1.10, 但隐藏账户仍然是更新后. 要设置IPMI模块复位到出厂默认设置之前，这个安全错误是固定的，有必要.

华硕IPMI模块提供了端口ssh访问 22. 登录后, 检查 /conf /中clearpasswd 文件中列出的所有其他帐户的模块上. 您可能会看到清晰的文字显示在您自己的密码, 随着密码的管理员, 根 "匿名" 账户.

我将固件更新到版本 1.10 以上 1.5 年前, 但没有安全的通知，告诉我该模块复位到出厂默认值. 其实, 默认选项是保存设置. 在这段时间里，这些root账户是我的服务器上，我不知道，直到今天. 我尝试重置帐户密码时，发现了这一意外.

失误和错误是预期，总有一些事情要担心IT安全. 保持这些类型的隐藏的问题是解决不了问题. 华硕的安全是因为一个业余的错误过失，但没有如何处理的问题.

固定误区

如果您有固件比旧 1.10, 然后更新模块，并取消选中该框 "保存系统配置". 保存配置将保存安全问题, 太.

如果你安装的版本 1.10 并选择要保留的配置, 你需要重新安装版 1.10 并取消选中 "保存" 箱. 运用 "维修保养 - > 恢复出厂" 中断用户的 "匿名" 帐户，但仍准许访问 "根" 与上面显示的默认密码.

经过重新应用固件和重置配置, 我发现华硕的解决方案是 阻止所有shell访问 到控制台. 更新后, 您将只能够使用 "粉碎" 命令接口. Busybox的shell访问已被锁住. 这是一个业余的解决方案，以一个业余的错误.