发布日期：2006-04-13
更新日期：2006-05-19

受影响系统：

Sybase Enterprise Application Server 5.3
Sybase Enterprise Application Server 5.2
Sybase Enterprise Application Server 5.0

描述：

---

BUGTRAQ  ID: 18036

Sybase EAServer是高性能、可伸缩、安全、开放的应用服务器，适用于使用多层架构的电子门户和互联商务解决方案。

在UNIX和LINUX平台上的J2EE或Java GUI应用程序中使用口令字段时存在安全漏洞。

1 如果用户在GUI应用程序的口令提示对话框中输入了口令但没有点击“确定”或“输入”的话，就会保持口令对话框一直打开，因此其他可以物理访问机器的用户就可以访问所输入的口令。通过远程控制软件访问机器的用户也可以访问该口令。

2 如果GUI应用程序允许使用JPasswordField UI组件存储、检索或共享口令信息的话，则即使所存储的口令是加密的并储存在受到保护的操作系统文件中，拥有合适访问级别的用户也可以在使用相同的GUI应用程序时浏览明文口令。

<*来源：Sybase
  
  链接：http://secunia.com/advisories/20145/print/
        http://www.sybase.com/detail?id=1040665
*>

建议：

---

临时解决方法：

* 在输入口令时不要保持口令对话框一直打开。
* 禁止其他用户访问存储口令的文件，或不要使用GUI应用程序在上述文件中存储保密数据。
* 通过以下步骤禁止直接使用javax.swing.JPasswordField UI组件：

   1.
      public class MyPasswordField extends JPasswordField
      {
          public MyPasswordField( String text )
          {
          super( text );
          }

          public String getSelectedText()
          {
          Return "";
          }
      }

   2. 更新已有代码，使用MyPasswordField而不是JPasswordField。

厂商补丁：

Sybase
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.sybase.com/

浏览次数：2885
严重程度：0（网友投票）