Zmerge管理数据库存在不安全默认访问控制列表发布时间:2002-09-11 更新时间:2002-09-11 严重程度:高 威胁程度:权限提升 错误类型:配置错误 利用方式:服务器模式 BUGTRAQ ID:5101 受影响系统 Granite Software Zmerge 4.0详细描述 ZMerge是在Lotus Notes数据和结构数据文件之间映射数据的Lotus Notes/Domino工具。 默认情况下ZMerge管理数据库允许所有用户访问数据库,包括匿名WEB用户。如果管理员疏忽不改变数据库访问控制列表。未授权用户可以修改输入/导出脚本数据,然后由管理员运行。匿名WEB用户可以都和修改所有脚本,但不能在WEB上交互的运行脚本 测试代码 无 解决方案 选择ZMerge administrator database(zm50adm.nsf 或者zmevladm.nsf ),改变默认和匿名访问级别为"No Access"。 每个条目设置为"No Access"后,验证确认"Read public documents" 和"Write public documents"没有打勾。 相关信息 参考:http://online.securityfocus.com/advisories/4453 |
