CVE-2004-0029
CVSS4.6
发布时间 :2004-01-20 00:00:00
修订时间 :2016-10-17 22:39:54
NMCO    

[原文]Lotus Notes Domino 6.0.2 on Linux installs the notes.ini configuration file with world-writable permissions, which allows local users to modify the Notes configuration and gain privileges.


[CNNVD]Lotus Notes Domino 6.0.2(linux)目录权限不安全漏洞(CNNVD-200401-040)

        
        Lotus Domino服务器是一款基于WEB合作的应用程序架构,运行在Linux/Unix和Microsoft Windows操作系统平台下。
        Linux下的Lotus Domino服务器默认安装文件权限设置不正确,本地攻击者可以利用这个漏洞修改系统配置,导致查看敏感文件或启动和停止服务。
        根据报告Lotus Notes Domino 6.0.2 (linux)版本重要的配置文件notes.ini默认设置权限不正确:
        /local/notesdata/notes.ini rw-rw-rw- notes notes
        任意本地用户可以修改其中配置,导致破坏notes系统,或查看敏感文件等攻击。
        

- CVSS (基础分值)

CVSS分值: 4.6 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: PARTIAL [可能会导致性能下降或中断资源访问]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: LOCAL [漏洞利用需要具有物理访问权限或本地帐户]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0029
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-0029
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200401-040
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=107340897710308&w=2
(UNKNOWN)  BUGTRAQ  20040106 Lotus Notes Domino 6.0.2 (linux) faulty default permissions
http://www.excluded.org/advisories/advisory05.txt
(UNKNOWN)  MISC  http://www.excluded.org/advisories/advisory05.txt
http://www.securityfocus.com/bid/9366
(VENDOR_ADVISORY)  BID  9366
http://www.securitytracker.com/id?1008623
(UNKNOWN)  SECTRACK  1008623
http://xforce.iss.net/xforce/xfdb/14153
(VENDOR_ADVISORY)  XF  lotus-notes-insecure-permissions(14153)

- 漏洞信息

Lotus Notes Domino 6.0.2(linux)目录权限不安全漏洞
中危 未知
2004-01-20 00:00:00 2005-10-20 00:00:00
本地  
        
        Lotus Domino服务器是一款基于WEB合作的应用程序架构,运行在Linux/Unix和Microsoft Windows操作系统平台下。
        Linux下的Lotus Domino服务器默认安装文件权限设置不正确,本地攻击者可以利用这个漏洞修改系统配置,导致查看敏感文件或启动和停止服务。
        根据报告Lotus Notes Domino 6.0.2 (linux)版本重要的配置文件notes.ini默认设置权限不正确:
        /local/notesdata/notes.ini rw-rw-rw- notes notes
        任意本地用户可以修改其中配置,导致破坏notes系统,或查看敏感文件等攻击。
        

- 公告与补丁

        厂商补丁:
        Lotus
        -----
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.lotus.com/

- 漏洞信息

3424
IBM Lotus Domino for Linux notes.ini Insecure Permissions

- 漏洞描述

Lotus Domino on Linux installs with default insecure permissions. The notes.ini file is installed with world-writable permissions. This allows attackers to change critical configuration parameters and possibly execute arbitrary code as the Notes user.

- 时间线

2004-01-08 2001-01-06
Unknow Unknow

- 解决方案

Currently, there are no known upgrades or patches to correct this issue. It is possible to correct the flaw by implementing the following workaround(s): Change the permissions on the notes.ini file: chmod 660 notes.ini

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站