漏洞信息详情
Lawson Financials帐户信息全局可访问漏洞
- CNNVD编号:CNNVD-200212-794
- 危害等级: 高危
- CVE编号: CVE-2002-2301
- 漏洞类型: 信任管理
- 发布时间: 2002-12-31
- 威胁类型: 本地
- 更新时间: 2002-12-31
- 厂 商: lawson_software
- 漏洞来源: John Eisenschmidt※...
漏洞简介
Lawson Financials是一款商业金融计划和跟踪软件,可使用在Unix和Microsoft Windows操作系统下。 Lawson Financials存储用户帐户的文件全局可读写,本地攻击者可以利用这个漏洞访问配置文件而获得用户帐户信息,未授权访问系统。 Lawson Finanical部分默认配置允许未授权用户访问敏感信息。默认情况下,Lawson Finanical敏感信息如用户名和密码存储在全局可读写的答谢数据库文件中\"capital <database> file\"文本文件中。本地攻击者利用这些信息可以用于访问Finanicals数据库。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* chmod 400
http://www.lawson.com
参考网址
来源: XF 名称: lawson-financials-insecure-authentication(10742) 链接:http://xforce.iss.net/xforce/xfdb/10742 来源: BID 名称: 6293 链接:http://www.securityfocus.com/bid/6293 来源: BUGTRAQ 名称: 20021202 Advisory: Lawson Financials RDBMS Insecurity 链接:http://seclists.org/lists/bugtraq/2002/Dec/0012.HTML 来源:NSFOCUS 名称:3959 链接:http://www.nsfocus.net/vulndb/3959
受影响实体
- Lawson_software Lawson_financials:8.0
补丁
暂无
评论