ZeroBox Vulnerability Database

漏洞起因
设计错误
危险等级
低
 
影响系统
IBM Tivoli Directory Server 6.3
IBM Tivoli Directory Server 6.2
IBM Tivoli Directory Server 6.1
 
不受影响系统
IBM Tivoli Directory Server 6.3.0.0-TIV-ITDS-IF0
IBM Tivoli Directory Server 6.2.0.3-TIV-ITDS-IF0
IBM Tivoli Directory Server 6.1.0.5-TIV-ITDS-IF0
 
危害
远程攻击者可以利用漏洞获得敏感密码信息或以服务进程上下文执行任意代码。
 
攻击所需条件
攻击者必须访问IBM Tivoli Directory Server。
 
漏洞信息
IBM Tivoli Directory Server是一款功能强大的LDAP目录服务实现。
IBM Tivoli Directory Server存在多个安全漏洞，允许攻击者获得敏感信息或进行拒绝服务攻击。
-IBM Tivoli Directory Server ibmslapd.exe存在远程任意代码执行漏洞，远程攻击者可以发送恶意请求，把数据写入到服务器执行栈中，无需验证以应用程序上下文执行任意代码。
-TDS代理服务器使用扩展操作来判断用户组成员，如果后端服务器配置了审计扩展操作，会在审计日志中显示请求数据，此数据会包含用户明文密码。
 
测试方法
 
厂商解决方案
用户可参考如下供应商提供的安全公告获得安全补丁：
http://www-01.ibm.com/support/docview.wss?uid=swg21474615
 
漏洞提供者
IBM
  
 
漏洞消息链接
http://secunia.com/advisories/43994/