发布日期：2001-08-15
更新日期：2001-08-16

受影响系统：

NetWare Enterprise Web Server 5.1
NetWare GroupWise WebAccess 5.5
  - Novell NetWare 5.x                              

描述：

---

NetWare Enterprise Web Server 5.1存在一个安全漏洞，可能泄漏系统信息。

如果打开了"通过web服务器进行NDS浏览"选项，当攻击者可以访问web服务器的80端口时，
他们就可以获取一些系统信息，包括用户名、组名等等。

缺省情况下，通过访问下列文件就可以获取这些信息：

http://server/lcgi/ndsobj.nlm

缺省情况下，"通过web服务器进行NDS浏览"选项是关闭的，因此只有手工将其打开的用户
才受此问题影响。

<* 来源:  Adept (adept@anonymoushosts.net)
          Simple Nomad (thegnome@nmrc.org)
*>



建议：

---

临时解决方法：

如果您已经打开了这个开关，您可以按照下列方法关闭：

  1. 点击"File"
  2. 点击"Select Server"选择相应的服务器
  3. 选择"\WEB"目录,点击OK。
  4. 取消“Enable NDS browsing"复选框，点击OK.
  5. 点击"Save"然后重新启动
  6. 输入Web服务器口令然后点击OK

你也可以在NDS树的根中删除[Public]读取访问权限。这将会禁止任何人，包括内部的未
授权用户浏览您的内部NDS树。

厂商补丁：


目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://support.novell.com/



浏览次数：3472
严重程度：0（网友投票）