发布日期：2002-02-04
更新日期：2002-02-07

受影响系统：

Lotus Domino 5.0
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Sun Solaris 8.0
Lotus Domino 5.0.1
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Sun Solaris 8.0
Lotus Domino 5.0.3
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Sun Solaris 8.0
Lotus Domino 5.0.4
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Sun Solaris 8.0
Lotus Domino 5.0.5
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Sun Solaris 8.0
Lotus Domino 5.0.6
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Sun Solaris 8.0
Lotus Domino 5.0.7
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 SP3
    - Sun Solaris 8.0
Lotus Domino 5.0.7a
    - HP HP-UX 9.9
    - IBM AIX 4.3
    - IBM OS/2 4.5Warp
    - IBM OS/390 V2R9
    - Linux系统  
    - Sun Solaris 8.0

不受影响系统：

Lotus Domino 5.0.9

描述：

---

BUGTRAQ  ID: 4022
CVE(CAN) ID: CVE-2001-1567

Lotus Domino Server是一个基于Web进行协同工作的软件包，它运行于包括Windows和Unix的多种系统之下。

Domino Server对HTTP请求的处理上存在漏洞，远程攻击者可能利用此漏洞绕过对数据库文件的口令保护。

通过发送特定的经过特殊构造的字串给服务器，远程攻击者可能绕过服务器对数据库模板文件的访问认证。

<*来源：Gabriel A. Maggiotti （gmaggiot@ciudad.com.ar）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0415.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0417.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0427.html
        http://archives.neohapsis.com/archives/bugtraq/2002-01/0437.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对Web Adminstrator Templete文件，例如webadmin.ntf，设置访问控制规则，限制匿名访问这些文件。

厂商补丁：

Lotus
-----
目前厂商已经在新版的5.0.9软件中修复这个安全问题，请到厂商的主页下载：

http://notes.net/qmrdown.nsf

浏览次数：3981
严重程度：0（网友投票）