发布日期：2003-08-07
更新日期：2003-08-12

受影响系统：

Lotus Sametime 3.0
Lotus Sametime 1.5

描述：

---

BUGTRAQ  ID: 8359

Lotus Sametime是一个Lotus公司开发的实时消息协议实现。

Lotus Sametime的加密实现不够强壮，远程攻击者可以利用这个漏洞破解用户登录的敏感信息。

Lotus Sametime存在如下设计缺陷：

1、登录消息包含RC2/40密钥，使得攻击者很容易截获信息并对密码进行解密。

2、RC2/40密钥的10个字节在0x30和0x39(ASCII数字0-9)之间，这就一定程序降低了暴力猜测密钥的次数和时间。

3、加密密码字段的前6个字节一直相同，这就更加快攻击者的解密过程。

<*来源：Mycelium （elium@hushmail.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=106029158414371&w=2
*>

建议：

---

厂商补丁：

Lotus
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://lotusdevelopmentadvisor.com/doc/11498

浏览次数：2575
严重程度：0（网友投票）