发布日期：2001-12-08
更新日期：2001-12-14

受影响系统：

Lotus Domino 5.0.5-french
   - HP HP-UX 9.9
   - IBM AIX 4.3
   - IBM OS/2 4.5Warp
   - IBM OS/390 V2R9
   - Linux kernel 2.3
   - Microsoft Windows 2000 Server
   - Microsoft Windows NT 4.0
   - Sun Solaris 8.0
Lotus Domino 5.0.8-french
   - HP HP-UX 9.9
   - IBM AIX 4.3
   - IBM OS/2 4.5Warp
   - IBM OS/390 V2R9
   - Linux kernel 2.3
   - Microsoft Windows 2000
   - Microsoft Windows NT 4.0
   - Sun Solaris 8.0

描述：

---

BUGTRAQ  ID: 3656
CVE(CAN) ID: CVE-2001-0954

Lotus Domino 5.0.5和5.0.8的French版本存在一个安全漏洞，可能导致拒绝服务攻
击。

通过向该版本的Lotus Domino服务器发送精心构造的URL请求，即在请求的数据库前面
增加“/./”，将导致Lotus Domino服务器拒绝服务。

<*来源：Sebastien EXT-MICHAUD
（Sebastien.EXT-MICHAUD@atofina.com）
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0082.html
*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Sebastien EXT-MICHAUD （Sebastien.EXT-MICHAUD@atofina.com）提
供了如下测试代码：

http://server/./webadmin.nsf
http://server/mail/./administrator.nsf


建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 限制非授权主机对Lotus Domino服务器的访问

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.lotus.com/home.nsf/welcome/domino



浏览次数：4309
严重程度：0（网友投票）