IBM Lotus Domino HTML 非表示フィールドの暗号化パスワードの漏洩
medium Nessus プラグイン ID 19309
Language:
概要
リモート Web サーバーは、複数の情報漏洩脆弱性の影響を受けます。説明
リモートホストは、複数の情報漏洩脆弱性の影響を受けやすいバージョンの Lotus Domino サーバーを実行しています。具体的には、ユーザーのパスワードハッシュや他のデータが、デフォルトですべてのユーザーが読み取り可能な公開アドレス帳「names.nsf」の非表示フィールドに含まれています。さらに Domino は、パスワードハッシュの計算で「salt」を使用しないため、パスワードを簡単に解読できます。
ソリューション
Lotus Domino Server バージョン 6.0.6 / 6.5.5 または以降にアップグレードしてください。参考資料
http://www.cybsec.com/vuln/default_configuration_information_disclosure_lotus_domino.pdf
プラグインの詳細
深刻度: Medium
ID: 19309
ファイル名: domino_http_info_disclosure.nasl
バージョン: 1.18
タイプ: remote
ファミリー: Web Servers
公開日: 2005/7/27
更新日: 2018/7/10
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 4.1
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: cpe:/a:ibm:lotus_domino
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2005/7/28
エクスプロイト可能
CANVAS (D2ExploitPack)
参照情報
CVE: CVE-2005-2428