HBaby
26-11-05, 12:41 PM
问题的描述:
受影响系统:
IBM Lotus Domino R6 WebMail
IBM Lotus Domino R5 WebMail
详细描述:
IBM Lotus Domino WebMail是IBM消息传递解决方案组件,提供基本的基于浏览器的Lotus Domino电子邮件访问。
Lotus Domino处理储存用户口令的过程存在问题,可能造成信息用户口令信息泄露。
默认下Lotus Domino的主目录数据库names.nsf是所有用户都可读的,因此,所有用户都可以浏览人员项。在非特权用户浏览人员项时,“Internet Password”字段是空的,表示用户不能浏览口令哈希。但是,如果编辑了Web页面的话(在Internet Explorer中“查看源文件”),“HTTPPassword”隐藏字段会包含有口令哈希。
其他显示为空的字段也存在类似的问题。攻击者可以利用类似漏洞检索到的重要信息还有口令变更日期、客户端平台、客户端机器名称、客户端Lotus Domino版本等。
受影响系统:
IBM Lotus Domino R6 WebMail
IBM Lotus Domino R5 WebMail
详细描述:
IBM Lotus Domino WebMail是IBM消息传递解决方案组件,提供基本的基于浏览器的Lotus Domino电子邮件访问。
Lotus Domino处理储存用户口令的过程存在问题,可能造成信息用户口令信息泄露。
默认下Lotus Domino的主目录数据库names.nsf是所有用户都可读的,因此,所有用户都可以浏览人员项。在非特权用户浏览人员项时,“Internet Password”字段是空的,表示用户不能浏览口令哈希。但是,如果编辑了Web页面的话(在Internet Explorer中“查看源文件”),“HTTPPassword”隐藏字段会包含有口令哈希。
其他显示为空的字段也存在类似的问题。攻击者可以利用类似漏洞检索到的重要信息还有口令变更日期、客户端平台、客户端机器名称、客户端Lotus Domino版本等。