ZDNet 新闻在星期二发现了因特网服务供应商 EarthLink 公司的两处安全漏洞，使之服务的81000个域名在至少一个星期的时间随时会收到攻击。

EarthLink 下属的MindSpring操作的一个的公开源代码的电子商务软件包和一个配置有误的服务器最近被发现存在漏洞。结果使任何浏览器都可以阅读包含了81000 个帐号加密口令的文件。

安全专家Rain Forest Puppy说安全漏洞的大小要看MindSpring 和它的母公司 EarthLink是怎样设置服务器的。“你能读文件，甚至可以获得口令，但是如果你不能使用那些口令登录，所有你能做的都不值一提，”他说，在那种情况下，“情况不算坏。问题可能是，你能登陆到一个开放的 FTP 服务器上，这就允许别人搞破坏了。”

运行有缺陷的软件的一家养狗人网站和EarthLink 在星期二都得到了危险通知。于是养狗人的网站把购物车的软件撤走了，而 EarthLink的工程师正在试图解决这个问题。还没有由于这个事件而导致网站受到攻击的消息。

第一个缺陷源于一个普通的错误。Extropia编写的电子商务软件Web Store由于格式的问题不能从它收到的连接上接收数据。Extropia 在10月9号也得到了其产品缺陷的通知。尽管自那时以来，公司已经修改了软件，大部分使用该程序的站点很可能还没安装最近的版本，在一些程度还是容易受到攻击的。它允许任何用户在运行该电子商务软件的服务器上阅读文件。我们没有联系上Extropia 的程序员发表意见。

这一个危险已经让人生气了， 第二个问题就更加严重。包含加密的口令的一个关键的文件门户大开，使得大约 81000 个帐号暴露无遗。使用这份重要的文件，就可以解密帐目的口令。一个学生在10月10号发现了MindSpring 服务器的漏洞，这是缺陷公布后的第一天。当他在网上浏览狗的信息的时候，注意到了 ADogNet.com 使用了有问题的软件。在上星期他用电子邮件联系了 MindSpring 网络管理员。在没收到回答以后，他和ZDNet取得了联系。现在还不清楚是访问权限设置的问题，还是Web Store软件一直是以超级用户的权限在运行。

EarthLink 公司主机托管业务的主管David Flammia说公司正在调查这件事。Flammia 说文件可能是没被升级的一个老的服务器上的东西。安全顾问 RFP 指出软件确实会有漏洞，但是MindSpring这件事是一个简单的配置错误，是一个疏忽。

养狗人网站的管理员Cris  Alarcon说顾客信用卡信息以及高级的口令都没有存放在 MindSpring的服务器上。“我们从未甚至存储信用卡号码。”据 Alarcon说 ，这是他在MindSpring托管5 年来首次面临安全问题。

本栏首页

更多文章