Lotus Domino MS-DOS设备请求可导致路径泄露漏洞

漏洞信息详情

Lotus Domino MS-DOS设备请求可导致路径泄露漏洞

• CNNVD编号：CNNVD-200207-091
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0407
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2002-04-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  lotus
• 漏洞来源：
  Peter Gründl※ pgru…

Lotus Domino服务器是一款基于WEB合作的应用程序架构，运行在Linux，Unix和Microsoft windows操作系统平台下。
Lotus Domino服务器在处理针对MS-DOS设备名的请求处理上存在问题，可导致路径泄露。
Lotus Domino使用QueryDosDevice函数检查是否引用的文件为DOS设备，然后处理判断是否文件存在或者是否使用access()函数进行访问。如果你把com5提交给access()函数，它会返回0，如果此设备不存在，函数就会返回-1。根据这个思想，通过构建特殊的请求让服务器解析，可产生错误导致泄露WEB路径。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
Lotus
—–
目前厂商已经发布了升级补丁以修复这个安全问题，请升级到5.0.10版本：

Lotus Domino 5.0.9 a:

IBM Upgrade Lotus Domino 5.0.10

http://www.notes.net/qmrdown.nsf” target=”_blank”>
http://www.notes.net/qmrdown.nsf

来源: BID
名称: 4406
链接:http://www.securityfocus.com/bid/4406

来源: XF
名称: lotus-domino-reveal-information(8160)
链接:http://www.iss.net/security_center/static/8160.php

来源: BUGTRAQ
名称: 20020402 KPMG-2002006: Lotus Domino Physical Path Revealed
链接:http://www.securityfocus.com/archive/1/265380

来源: BUGTRAQ
名称: 20020207 Re: KPMG-2002004: Lotus Domino Webserver DOS-device Denial of Service
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101310812804716&w=2