eSeSIX Thintune是一系列eSeSIX GmbH开发的瘦客户端应用程序。在定制Linux平台上支持ICA、RDP、X11和SSH支持。eSeSIX Thintune存在多个问题，远程攻击者可以利用这个完全控制设备。

　　第一个问题是存在后门

　　攻击者可以连接没有公开的TCP/25072端口，在提供密码("jstwo")后就可以控制设备，攻击者可以利用此获得设备全部。

　　第二个问题是存在密码泄露问题

　　Keeper库用于存储所有JStream配置设置，配置存放在/root/.keeper/目录中，通过浏览本地或使用第一个问题中提供的"getreg"命令，可以远程读取Keeper库信息，导致获得VNC，控制中心和屏幕保护密码信息。

　　第三个问题是本地ROOT SHELL获得

　　可以按<CTRL><SHIFT><ALT><DEL>然后输入"maertsJ"密码获得ROOT SHELL。

　　第四个问题是本地明文密码查看

　　Thintune软件支持末端通过Phoenix Web浏览器进行访问，通过输入"file:///"可获得本地目录，本地可以利用浏览器查看敏感信息。

　　第五个问题是密码检查不正确

　　如果设置密码为'a'，那么输入类似"automobile", "any"或"afternoon"开头的字符串都可成功验证通过。

　　受影响系统：

　　eSeSIX Thintune XS 2.4.38 Firmware

　　eSeSIX Thintune XM 2.4.38 Firmware

　　eSeSIX Thintune S 2.4.38 Firmware

　　eSeSIX Thintune Mobile 2.4.38 Firmware

　　eSeSIX Thintune M 2.4.38 Firmware

　　eSeSIX Thintune L 2.4.38 Firmware

　　eSeSIX Thintune eXtreme 2.4.38 Firmware

　　不受影响系统：

　　eSeSIX Thintune XS 2.4.39 Firmware

　　eSeSIX Thintune XM 2.4.39 Firmware

　　eSeSIX Thintune S 2.4.39 Firmware

　　eSeSIX Thintune Mobile 2.4.39 Firmware

　　eSeSIX Thintune M 2.4.39 Firmware

　　eSeSIX Thintune L 2.4.39 Firmware

　　eSeSIX Thintune eXtreme 2.4.39 Firmware

　　补丁下载：

　　http://www.thintune.com/en/products/index.htm