Lotus Notes Client R5 文件存在效验存在问题发布时间:2000-11-28 更新时间:2000-11-28 严重程度:高 威胁程度:普通用户访问权限 错误类型:设计错误 利用方式:客户机模式 受影响系统 Lotus Notes Client R5详细描述 Lotus Notes Client R5是一个集信息和交流的WEB浏览程序,其中对R5采用了 Java Virtual Machine技术,在JAVA VM中的Execution Control List (ECL) 存在一个安全漏洞可以允许第三放入侵者来验证系统上的存在文件,ECL利用了 很多宽松的归着设置来限制任意访问本地文件。如果java.lang.ClassLoader class 类中使用了getSystemresource()方式ECL提供给用户对话框来进行认证,用户可以来选择认证或者放弃,在执行过程中随着时间的流失,可以通过一特殊构见的JAVA APPLET来验证目标机器上存在的文件,如果可以站点管理员在站点上设置一些恶意JAVA就可以来验证用户系统上的文件。 测试代码 见下面地址中的测试页面: http://java-house.etl.go.jp/~takagi/java/security/lotus-notes-existence-attack/Test.html 解决方案 尚无 相关信息 |
