<br><font size=2 face="sans-serif">Rule: MISC xdmcp query</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Sid: 517</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Summary: A remote user has tried to
query the XDMCP service.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Impact: Minimal</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Detailed Information: An XDMCP query
can provide a wealth of information about a host such as a login screen,
</font>
<br><font size=2 face="sans-serif">a list of users on the host, and to
bypass access control restrictions used by tcpwrapper and to bypass the
restriction</font>
<br><font size=2 face="sans-serif">of login by user "root" on
the box.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Affected Systems: Any *Nix server running
XDMCP.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Attack Scenarios: An attacker can use
this to find out information about the machine and then launch a specific
attack such as</font>
<br><font size=2 face="sans-serif">a brute force attack.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Ease of Attack: N\A</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Positives: None Known</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">False Negatives: None Known</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Corrective Action: Disable XDMCP if
not needed.</font>
<br>
<br><font size=2 face="sans-serif">--</font>
<br><font size=2 face="sans-serif">Contributors: Original rule writer unknown.</font>
<br><font size=2 face="sans-serif">         
    Josh Sakofsky</font>
<br><font size=2 face="sans-serif">-- </font>
<br><font size=2 face="sans-serif">Additional References: http://www.whitehats.com/info/IDS476</font>