发布日期：2002-12-02
更新日期：2002-12-09

受影响系统：

Lawson Financials

描述：

---

BUGTRAQ  ID: 6293

Lawson Financials是一款商业金融计划和跟踪软件，可使用在Unix和Microsoft Windows操作系统下。

Lawson Financials存储用户帐户的文件全局可读写，本地攻击者可以利用这个漏洞访问配置文件而获得用户帐户信息，未授权访问系统。

Lawson Finanical部分默认配置允许未授权用户访问敏感信息。默认情况下，Lawson Finanical敏感信息如用户名和密码存储在全局可读写的答谢数据库文件中"capital <database> file"文本文件中。本地攻击者利用这些信息可以用于访问Finanicals数据库。

<*来源：John Eisenschmidt （jweisen@eisenschmidt.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103885462311834&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

John Eisenschmidt （jweisen@eisenschmidt.org）提供了如下测试方法：

这些文件如下所示：

bash-2.03$ ls -l [A-Z]*
-rw-rw-rw-   1 lawson   lawson       106 Jun 11 12:10 IBM
-rw-rw-rw-   1 lawson   lawson       123 Jun 11 12:10 INFORMIX
-rw-rw-rw-   1 lawson   lawson       272 Jun 13 08:40 ORACLE
-rw-rw-rw-   1 lawson   lawson       124 Jun 11 12:10 SYBASE

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* chmod 400 <file>

厂商补丁：

Lawson
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.lawson.com

浏览次数：2789
严重程度：0（网友投票）