安全研究
安全漏洞
Lawson Financials帐户信息全局可访问漏洞
发布日期:2002-12-02
更新日期:2002-12-09
受影响系统:Lawson Financials
描述:
BUGTRAQ ID:
6293
Lawson Financials是一款商业金融计划和跟踪软件,可使用在Unix和Microsoft Windows操作系统下。
Lawson Financials存储用户帐户的文件全局可读写,本地攻击者可以利用这个漏洞访问配置文件而获得用户帐户信息,未授权访问系统。
Lawson Finanical部分默认配置允许未授权用户访问敏感信息。默认情况下,Lawson Finanical敏感信息如用户名和密码存储在全局可读写的答谢数据库文件中"capital <database> file"文本文件中。本地攻击者利用这些信息可以用于访问Finanicals数据库。
<*来源:John Eisenschmidt (
jweisen@eisenschmidt.org)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103885462311834&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
John Eisenschmidt (
jweisen@eisenschmidt.org)提供了如下测试方法:
这些文件如下所示:
bash-2.03$ ls -l [A-Z]*
-rw-rw-rw- 1 lawson lawson 106 Jun 11 12:10 IBM
-rw-rw-rw- 1 lawson lawson 123 Jun 11 12:10 INFORMIX
-rw-rw-rw- 1 lawson lawson 272 Jun 13 08:40 ORACLE
-rw-rw-rw- 1 lawson lawson 124 Jun 11 12:10 SYBASE
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* chmod 400 <file>
厂商补丁:
Lawson
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.lawson.com浏览次数:2789
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |