Lawson Financials帐户信息全局可访问漏洞

漏洞信息详情

Lawson Financials帐户信息全局可访问漏洞

• CNNVD编号：CNNVD-200212-794
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2002-2301
  
• 漏洞类型：
  
  
  信任管理
  
• 发布时间：
  
  2002-12-31
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2002-12-31
  
• 厂        商：
  
  lawson_software
• 漏洞来源：
  John Eisenschmidt※…

Lawson Financials是一款商业金融计划和跟踪软件，可使用在Unix和Microsoft Windows操作系统下。
Lawson Financials存储用户帐户的文件全局可读写，本地攻击者可以利用这个漏洞访问配置文件而获得用户帐户信息，未授权访问系统。
Lawson Finanical部分默认配置允许未授权用户访问敏感信息。默认情况下，Lawson Finanical敏感信息如用户名和密码存储在全局可读写的答谢数据库文件中\”capital ＜database＞ file\”文本文件中。本地攻击者利用这些信息可以用于访问Finanicals数据库。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* chmod 400
厂商补丁：
Lawson
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.lawson.com” target=”_blank”>
http://www.lawson.com

来源: XF
名称: lawson-financials-insecure-authentication(10742)
链接:http://xforce.iss.net/xforce/xfdb/10742

来源: BID
名称: 6293
链接:http://www.securityfocus.com/bid/6293

来源: BUGTRAQ
名称: 20021202 Advisory: Lawson Financials RDBMS Insecurity
链接:http://seclists.org/lists/bugtraq/2002/Dec/0012.html

来源：NSFOCUS
名称：3959
链接：http://www.nsfocus.net/vulndb/3959