漏洞信息详情
IBM Lotus Domino代理签名验证权限提升漏洞
- CNNVD编号:CNNVD-200706-082 <!--
- 危害等级: 超危-->
- 危害等级: 超危
- CVE编号: CVE-2007-0068
- 漏洞类型: 设计错误
- 发布时间: 2007-06-06
- 威胁类型: 远程
- 更新时间: 2007-06-07
- 厂 商: ibm
- 漏洞来源: IBM [email protected]....
-
漏洞简介
Lotus Domino/Notes服务器是一款基于WEB协同工作的应用程序架构,运行在Linux/Unix和Microsoft Windows操作系统平台下。
Lotus Domino的代理签名验证中存在漏洞,本地攻击者可能利用此漏洞提升自己在应用中的权限。
如果远程攻击者拥有对Domino服务器上数据库的designer或manager访问权限,且使用模板替换了数据库的设计,而该模板中的调度代理被设置为enabled且由可信任的有效ID签名,则使用修改过后的代理允许重新使用某些标记,导致使用之前已经验证过的签名而不是当前代理上无效的签名。远程攻击者可以通过这种方式获得Full Access Administrator权限。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.ers.ibm.com/
参考网址
来源: BID
名称: 24322
链接:http://www.securityfocus.com/bid/24322
来源: VUPEN
名称: ADV-2007-2063
链接:http://www.frsirt.com/english/advisories/2007/2063
来源: www-1.ibm.com
链接:http://www-1.ibm.com/support/docview.wss?uid=swg21258784
来源: SECUNIA
名称: 25520
链接:http://secunia.com/advisories/25520
来源: OSVDB
名称: 35765
链接:http://osvdb.org/35765
来源: XF
名称: domino-signature-privilege-escalation(34718)
链接:http://xforce.iss.net/xforce/xfdb/34718
受影响实体
- Ibm Lotus_domino:7.0.2<!--2000-1-1-->
- Ibm Lotus_domino:7.0<!--2000-1-1-->
- Ibm Lotus_domino:7.0.1<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...