home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / Exploit and vulnerability / hoobie / rshd_problem.txt < prev    next >
Encoding:
Text File  |  2001-11-06  |  672 b   |  18 lines
  1.  
  2. Try 'rsh victimhost -l realuser ls' and 'rsh victimhost -l nosuchuser ls'.
  3. The error reported is different.
  4.  
  5. Therefore, it's possible to determine which account names are valid.
  6. This is an issue only for particularly paranoid sites that probably
  7. already have rshd disabled, but I thought it would be worth issuing a
  8. warning anyway.
  9.  
  10. A cursory investigation of some local machines showed the following:
  11.  
  12. Affected: Linux, NetBSD, Digital Unix 4.0
  13. Not affected: HP-UX, Solaris
  14.  
  15. Linux's rsh client also seems to have a bug where the second of the
  16. above cases prints random error strings. This will all be fixed in the
  17. next release (unfortunately, not yesterday's release...)
  18.