发布日期：2002-04-02
更新日期：2002-04-08

受影响系统：

Lotus Domino 5.0.9a

不受影响系统：

Lotus Domino 5.0.10

描述：

---

BUGTRAQ  ID: 4406
CVE(CAN) ID: CVE-2002-0407

Lotus Domino服务器是一款基于WEB合作的应用程序架构，运行在Linux,Unix和Microsoft windows操作系统平台下。

Lotus Domino服务器在处理针对MS-DOS设备名的请求处理上存在问题，可导致路径泄露。

Lotus Domino使用QueryDosDevice函数检查是否引用的文件为DOS设备，然后处理判断是否文件存在或者是否使用access()函数进行访问。如果你把com5提交给access()函数，它会返回0，如果此设备不存在，函数就会返回-1。根据这个思想，通过构建特殊的请求让服务器解析，可产生错误导致泄露WEB路径。

<*来源：Peter Gründl （pgrundl@kpmg.dk）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0003.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Lotus
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请升级到5.0.10版本：

Lotus Domino 5.0.9 a:

IBM Upgrade Lotus Domino 5.0.10
http://www.notes.net/qmrdown.nsf

浏览次数：2945
严重程度：0（网友投票）