Sybase EAServer JPasswordField口令 信息泄露漏洞

漏洞信息详情

Sybase EAServer JPasswordField口令 信息泄露漏洞

• CNNVD编号：CNNVD-200605-419
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2006-2539
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2006-04-13
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2007-06-26
  
• 厂        商：
  
  sybase
• 漏洞来源：
  Sybase

Sybase EAServer（Enterprise Application Server）是美国Sybase公司的一款基于J2EE的、企业级的应用服务器。该服务器提供企业级Web Site、分布式和主从式架构的解决方案。

在UNIX和LINUX平台上的J2EE或Java GUI应用程序中使用口令字段时存在安全漏洞。

1 如果用户在GUI应用程序的口令提示对话框中输入了口令但没有点击\”确定\”或\”输入\”的话，就会保持口令对话框一直打开，因此其他可以物理访问机器的用户就可以访问所输入的口令。通过远程控制软件访问机器的用户也可以访问该口令。

2 如果GUI应用程序允许使用JPasswordField UI组件存储、检索或共享口令信息的话，则即使所存储的口令是加密的并储存在受到保护的操作系统文件中，拥有合适访问级别的用户也可以在使用相同的GUI应用程序时浏览明文口令。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：
http://downloads.sybase.com/

来源: www.sybase.com

链接:http://www.sybase.com/detail?id=1040665

来源: BID

名称: 18036

链接:http://www.securityfocus.com/bid/18036

来源: VUPEN

名称: ADV-2006-1869

链接:http://www.frsirt.com/english/advisories/2006/1869

来源: SECUNIA

名称: 20145

链接:http://secunia.com/advisories/20145

来源: XF

名称: sybase-easerver-jpasswordfield-obtain-info(26567)

链接:http://xforce.iss.net/xforce/xfdb/26567