IBM Lotus Sametime用户名枚举漏洞

漏洞起因
设计错误
 
影响系统
IBM Lotus Instant Messaging and Web Conferencing 6.5.1
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得合法用户信息。
 
攻击所需条件
攻击者必须访问IBM Lotus Sametime。
 
漏洞信息
IBM Lotus Sametime是一款企业级即使消息和WEB会议应用程序。
IBM Lotus Sametime处理登录过程中提供的不同用户名处理存在问题,远程攻击者可以利用漏洞获得合法用户信息。
客户端提供合法用户名非法密码,其之后显示的’Invalid logon’错误消息会在5-8秒之后显示,而提供非法用户名和密码,错误会在1-3秒内提示,借此可以判断用户名是否合法。
 
测试方法
 
厂商解决方案
目前没有解决方案提供:
http://www.ibm.com/
 
漏洞提供者
Karan Khosla from Sense of Security Labs

发表评论?

0 条评论。

发表评论