NSFOCUS绿盟科技

首页 -> 安全研究

安全研究

安全漏洞

Lotus Domino Webserver DOS设备长扩展名拒绝服务攻击漏洞

发布日期：2002-02-04
更新日期：2002-02-07

受影响系统：

Lotus Domino 5.0.9
Lotus Domino 5.0.8
Lotus Domino 4.6.1
    - Microsoft Windows NT 4.0
Lotus Domino 4.6.3
    - Microsoft Windows NT 4.0
Lotus Domino 4.6.4
    - Microsoft Windows NT 4.0
Lotus Domino 5.0
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.1
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.2
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.3
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.4
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.5
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.6
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP2
    - Microsoft Windows 2000 SP1
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.7
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0
Lotus Domino 5.0.7a
    - AIX 4.3
    - HP-UX 9.9
    - Linux系统
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000
    - OS/2 4.5Warp
    - OS/390 V2R9
    - Solaris 8.0

不受影响系统：

描述：

BUGTRAQ  ID: 4020

Lotus Domino Server是一个基于Web进行协同工作的软件包，它运行于包括Windows和Unix的多种系统之下。

运行在Windows 2000下5.0.9a以前版本的Lotus Domino Webserver都可能存在拒绝服务漏洞。

如果从CGI-BIN来的DOS设备扩展名有220个字符，服务器会派生出cmd.exe会话来运行nul.pif，还会弹出对话框，询问用何种程序运行nul.pif。如果重复400次，服务器将会用完工作线程，服务器就不会再响应合法用户请求。

<*来源：Peter Gründl （pgrundl@kpmg.dk）

  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0412.html
*>

建议：

临时解决方法：

此问题没有合适的临时解决方法。

厂商补丁：

Lotus
-----
目前厂商已经在新版的5.0.9a软件中修复这个安全问题，请到厂商的主页下载：

http://notes.net/qmrdown.nsf

浏览次数：7623
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客