|
|
Lotus Notes Visible Views 漏洞
发布时间:2001-11-03
更新时间:2001-11-03
严重程度:中
威胁程度:服务器信息泄露
错误类型:设计错误
利用方式:服务器模式
受影响系统Lotus Domino 5.0
Lotus Domino 5.0.1
- HP HP-UX 9.9
- IBM AIX 4.3
- IBM OS/2 4.5Warp
- IBM OS/390 V2R9
- Linux kernel 2.3
- Microsoft Windows 2000
- Microsoft Windows NT 4.0
- Sun Solaris 8.0
Lotus Domino 5.0.2
- HP HP-UX 9.9
- IBM AIX 4.3
- IBM OS/2 4.5Warp
- IBM OS/390 V2R9
- Linux kernel 2.3
- Microsoft Windows 2000
- Microsoft Windows NT 4.0
- Sun Solaris 8.0
Lotus Domino 5.0.3
- HP HP-UX 9.9
- IBM AIX 4.3
- IBM OS/2 4.5Warp
- IBM OS/390 V2R9
- Linux kernel 2.3
- Microsoft Windows 2000
- Microsoft Windows NT 4.0
- Sun Solaris 8.0
Lotus Domino 5.0.4
- HP HP-UX 9.9
- IBM AIX 4.3
- IBM OS/2 4.5Warp
- IBM OS/390 V2R9
- Linux kernel 2.3
- Microsoft Windows 2000
- Microsoft Windows NT 4.0
- Sun Solaris 8.0
Lotus Domino 5.0.5
- HP HP-UX 9.9
- IBM AIX 4.3
- IBM OS/2 4.5Warp
- IBM OS/390 V2R9
- Linux kernel 2.3
- Microsoft Windows 2000
- Microsoft Windows NT 4.0
- Sun Solaris 8.0
Lotus Domino 5.0.6
- HP HP-UX 9.9
- IBM AIX 4.3
- IBM OS/2 4.5Warp
- IBM OS/390 V2R9
- Linux kernel 2.3
- Microsoft Windows 2000
- Microsoft Windows 2000 SP1
- Microsoft Windows 2000 SP2
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
- Microsoft Windows NT 4.0SP2
- Microsoft Windows NT 4.0SP3
- Microsoft Windows NT 4.0SP4
- Microsoft Windows NT 4.0SP5
- Microsoft Windows NT 4.0SP6
- Microsoft Windows NT 4.0SP6a
- Microsoft Windows NT 4.0SP7
- Sun Solaris 8.0
Lotus Domino 5.0.7a
Lotus Domino 5.0.7
- HP HP-UX 9.9
- IBM AIX 4.3
- IBM OS/2 4.5Warp
- IBM OS/390 V2R9
- Linux kernel 2.3
- Microsoft Windows 2000
- Microsoft Windows NT 4.0
- Sun Solaris 8.0
Lotus Domino 5.0.8 详细描述
Lotus Domino是有IBM开发的应用服务程序,其中有一个功能允许远程用户通过
WEB接口来和Lotus Notes数据库交互。
其中存在漏洞由于默认的浏览器存在可以导致远程攻击者访问数据库敏感信息,
通过请求特殊的HTTP请求可以导致未认证访问这个默认浏览器而导致信息泄露。
测试代码
尚无
解决方案
临时方法:
制定URL重定向策略,对匹配下列模式的所有请求进行重定向
*/%24D*
*/%24d*
*/%24%44*
*/$d/*
*/$D/*
*/$%64*
*/$%44*
相关信息
David Litchfield <david@nextgenss.com>.
公司主页:http://www.lotus.com/home.nsf/welcome/domino
|
