发布日期：2003-02-12
更新日期：2003-02-14

受影响系统：

Lotus Domino Server 6.0
Lotus Domino Server 5.0

描述：

---

Lotus Domino web服务器是一款商业性质HTTPD服务程序，可运行在Linux/Unix和Microsoft Windows操作系统平台下。

Lotus Domino web服务器对处理部分特殊URL请求时存在问题，远程攻击者可以利用这个漏洞获得部分文件类型的源代码信息。

攻击者如果请求一个非默认Lotus默认类型文件(非.NSF，.NTF等)，并在文件后追加一个点号，服务器就会提示用户是否要下载。这可能导致下载一些add-in WEB处理器，如Crystal
Reports, Perl脚本等文件，这当中部分文件类型可能包含登录用户名和密码，利用这个漏洞获得文件源代码信息或敏感信息。

<*来源：Faz （faz_at_attbi.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104508940316295&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Faz （faz_at_attbi.com）提供了如下测试方法：

http://some.dominoserver.com/reports/secretreport.csp. 结尾加点

http://some.dominoserver.com/cgi-bin/myscript.pl . 结尾加空格点

http://some.dominoserver.com/cgi-bin/runme.exe%20.

http://some.dominoserver.com/reports/secretreport.csp%20%2E

建议：

---

厂商补丁：

Lotus
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.lotus.com/

浏览次数：3527
严重程度：0（网友投票）