目录横穿“(Ttaversal)”问题的解决办法
2001-08-02 17:49
691 查看
最近一周,在BugTraq的Internet 邮件列表中报告了 “Domino 服务器目录‘横穿’(Traversal)缺陷”,经证实这确实是一个问题,R5.06a正在修复。应敦促在Domino服务器上运行HTTP服务器任务的客户在R5.06a完成后立即升级。与此同时,下面是简单的应对方法。
Q&A
Q:“目录‘横穿’(Traversal)”缺陷的实质是什么?
A:给出已知路径和文件名,就能够访问到运行HTTP任务的Domino服务器上的文件。这受安装Domino服务器的文件系统(或驱动器)的限制。你不可能浏览文件系统,但如果能够猜出当前文件名,就能够访问它。
Q:影响哪些Domino版本?
A:R5.0 - R5.06 不影响R4x
Q:我如何跟踪这个问题?
A:软件问题报告(SPR)的编号为KSPR4SPQ5S。问题修复后就会列入Notes.net上的修复列表(Fix List)数据库----www.notes.net/R5FixList.nsf
Q:Lotus计划如何解决这个问题?
A:Lotus 高度重视这个问题,修复版正在测试中。修复计划在R5.06a中进行,并且一旦修复版完成就会放到http://www.notes.net上。
Q:是否有应对办法?
A:有。在R5.06a完成以前,推荐使用以下应对方案:
1.打开Administration Client
2.选择希望配置的服务器
3.在“配置”标签页的“服务器”区段中,选择当前服务器文档
点击“Web”按钮
选择“创建URL 映射/重定位文档”
4.在URL重定位文档中
在“基本”标签页选择URLà重定位URL
在“映射”标签页
输入的 URL: *..*
重定位 URL: [指定你希望用户重定位到的URL,例如 http://hostname/homepage.nsf http://hostname/message.html]
注意:指定的URL必须是外部的重定位,而不能是内部的重定位。因此,http://myserver/message.html是有效的,而/message.html是无效的。
5.保存文档
6.重起HTTP任务
Q: 影响哪些操作系统?
A: 代码修复并不特别针对哪个操作系统。Lotus QE 在Windows NT/2000,OS/2,WinNT Alpha 等平台上重现了这个问题。QE 无法在Unix ,Linux,AS/400或S/390上重现此问题,但客户不应当就认为这些系统难于攻击。这可能仅仅是因为这些系统有更加严格的文件系统许可设置。
Q: 如果不将Domino作为Web服务器,是否还存在这个问题?
A: 不存在。这个问题是特别针对运行HTTP任务或Domino for IIS的Domino系统的。
Q: 是否影响QuickPlace?
A: 是的。Lotus 正在计划推出R2.06a以解决这个问题。QuickPlace服务器的Administrator也应当实施URL重定位的应对方案。
Q: 如果不采用Notes Client管理Domino服务器,是否有其它应对方案?
A: 可以在 httpd.cnf文件中加入下列内容,执行类似的URL重定位。
Map *..* /filename.nsf
Q: 有人推荐采用文件保护文档作为应对方法。Lotus 认为如何?
A: 文件保护文档并不能解决这个问题的所有可能的出现。客户应当代之以回应中推荐的URL重定位文档。另外,强烈推荐客户在R5.06a完成后立即升级。
Q: BugTraq 的报告中声称R4.67也被影响了,是吗?
A: Lotus QE无法在任何R4.x版本上重现这个问题。
Q: R5.06a何时能够完成?
A: 一旦版本的回归测试完成,R5.06a就会放到http://notes.net上。
Q: 其它版本(例如R5.04或R5.05)是否会有QMU(Quarterly Maintenance Unit)?
A: 客户需要升级到R5.06a。
Q: 如果应用中使用带有“..”的URL,这种应对方法是否会中断这些应用?
A: 测试表明应用代码中的URL仍然是有效的。只有当用户在浏览器中直接键入带有“..”的URL时,重定位才会发生。这是唯一Lotus推荐的应对方案。
Q: 如果运行虚拟服务器,是否需要问每一个虚拟服务器都创建一个URL重定位文档?
A: 不需要。如果在文档中不特别指定一个IP地址,重定位将作用于机器上的所有虚拟服务器。
Q: 是否所有浏览器都能重现此错误?
A: 不是。只有某些浏览器发生了这样的问题。但是,这只说明一些用户重现这个问题有困难。因此仍然应该对所有Domino Web Server实施应对方案和升级。
Q: 是否还可以采取其它措施以降低出现这种缺陷的机会?
A: 下面的列表并不全面,但是一些快速的措施:
用口令保护Server id
以一个唯一的文件名重命名Server id
用Server 的id本地加密系统数据库(以及其它名字容易被猜到的数据库)
在隔离的文件系统中存储Domino目录
在服务器文档中禁止目录浏览
欲获得更多加强系统安全性的信息,请参看以下资料:
IBM红皮书,“Notes and Domino R5 Security Infrastructure Revealed”
http://notes.net的Iris Today 中发布的有关安全机制的文章
http://www.lotus.com/security Lotus Security Zone网站上的白皮书
Q&A
Q:“目录‘横穿’(Traversal)”缺陷的实质是什么?
A:给出已知路径和文件名,就能够访问到运行HTTP任务的Domino服务器上的文件。这受安装Domino服务器的文件系统(或驱动器)的限制。你不可能浏览文件系统,但如果能够猜出当前文件名,就能够访问它。
Q:影响哪些Domino版本?
A:R5.0 - R5.06 不影响R4x
Q:我如何跟踪这个问题?
A:软件问题报告(SPR)的编号为KSPR4SPQ5S。问题修复后就会列入Notes.net上的修复列表(Fix List)数据库----www.notes.net/R5FixList.nsf
Q:Lotus计划如何解决这个问题?
A:Lotus 高度重视这个问题,修复版正在测试中。修复计划在R5.06a中进行,并且一旦修复版完成就会放到http://www.notes.net上。
Q:是否有应对办法?
A:有。在R5.06a完成以前,推荐使用以下应对方案:
1.打开Administration Client
2.选择希望配置的服务器
3.在“配置”标签页的“服务器”区段中,选择当前服务器文档
点击“Web”按钮
选择“创建URL 映射/重定位文档”
4.在URL重定位文档中
在“基本”标签页选择URLà重定位URL
在“映射”标签页
输入的 URL: *..*
重定位 URL: [指定你希望用户重定位到的URL,例如 http://hostname/homepage.nsf http://hostname/message.html]
注意:指定的URL必须是外部的重定位,而不能是内部的重定位。因此,http://myserver/message.html是有效的,而/message.html是无效的。
5.保存文档
6.重起HTTP任务
Q: 影响哪些操作系统?
A: 代码修复并不特别针对哪个操作系统。Lotus QE 在Windows NT/2000,OS/2,WinNT Alpha 等平台上重现了这个问题。QE 无法在Unix ,Linux,AS/400或S/390上重现此问题,但客户不应当就认为这些系统难于攻击。这可能仅仅是因为这些系统有更加严格的文件系统许可设置。
Q: 如果不将Domino作为Web服务器,是否还存在这个问题?
A: 不存在。这个问题是特别针对运行HTTP任务或Domino for IIS的Domino系统的。
Q: 是否影响QuickPlace?
A: 是的。Lotus 正在计划推出R2.06a以解决这个问题。QuickPlace服务器的Administrator也应当实施URL重定位的应对方案。
Q: 如果不采用Notes Client管理Domino服务器,是否有其它应对方案?
A: 可以在 httpd.cnf文件中加入下列内容,执行类似的URL重定位。
Map *..* /filename.nsf
Q: 有人推荐采用文件保护文档作为应对方法。Lotus 认为如何?
A: 文件保护文档并不能解决这个问题的所有可能的出现。客户应当代之以回应中推荐的URL重定位文档。另外,强烈推荐客户在R5.06a完成后立即升级。
Q: BugTraq 的报告中声称R4.67也被影响了,是吗?
A: Lotus QE无法在任何R4.x版本上重现这个问题。
Q: R5.06a何时能够完成?
A: 一旦版本的回归测试完成,R5.06a就会放到http://notes.net上。
Q: 其它版本(例如R5.04或R5.05)是否会有QMU(Quarterly Maintenance Unit)?
A: 客户需要升级到R5.06a。
Q: 如果应用中使用带有“..”的URL,这种应对方法是否会中断这些应用?
A: 测试表明应用代码中的URL仍然是有效的。只有当用户在浏览器中直接键入带有“..”的URL时,重定位才会发生。这是唯一Lotus推荐的应对方案。
Q: 如果运行虚拟服务器,是否需要问每一个虚拟服务器都创建一个URL重定位文档?
A: 不需要。如果在文档中不特别指定一个IP地址,重定位将作用于机器上的所有虚拟服务器。
Q: 是否所有浏览器都能重现此错误?
A: 不是。只有某些浏览器发生了这样的问题。但是,这只说明一些用户重现这个问题有困难。因此仍然应该对所有Domino Web Server实施应对方案和升级。
Q: 是否还可以采取其它措施以降低出现这种缺陷的机会?
A: 下面的列表并不全面,但是一些快速的措施:
用口令保护Server id
以一个唯一的文件名重命名Server id
用Server 的id本地加密系统数据库(以及其它名字容易被猜到的数据库)
在隔离的文件系统中存储Domino目录
在服务器文档中禁止目录浏览
欲获得更多加强系统安全性的信息,请参看以下资料:
IBM红皮书,“Notes and Domino R5 Security Infrastructure Revealed”
http://notes.net的Iris Today 中发布的有关安全机制的文章
http://www.lotus.com/security Lotus Security Zone网站上的白皮书
相关文章推荐
- mvc4 发布,遇到 403.14 问题,并且iis提示打开目录浏览。。。解决办法
- 关于虚拟目录继承根Web.Config的问题解决办法
- 生成chm文件左侧目录乱码问题解决办法
- 【转载】ASP.NET网站问题:删除或重命名站点下的任意目录导致站点重启(Session丢失)及解决办法
- discuz1.1正式版安装中的"windows/temp目录权限"问题 解决办法
- PHP技巧:解决PHP相对目录问题最有效的办法
- 关于虚拟目录继承根Web.Config的问题解决办法
- Nginx访问二级目录后/(反斜杠)无法访问问题的解决办法
- ADT版本号超过17后,所遇到的问题,如导入项目没有Android Dependencies目录、jars包导入的解决办法
- Error: Could not symlink include/libpng16/png.h 目录权限问题错误解决办法
- 使用网络目录映射虚拟目录出现 500.19 权限不足问题的一个解决办法
- Tomcat WEB-INF\class目录下的class文件不更新问题解决办法
- ADT版本号超过17后,所遇到的问题,如导入项目没有Android Dependencies目录、jars包导入的解决办法
- [C#] .NET Core项目修改project.json来引用其他目录下的源码等文件的办法 & 解决多框架时 project.json 与 app.config冲突的问题
- ServU7不支持中文名的解决办法(Serv-U中文目录和文件名变乱码问题)
- ubuntu和debian环境下vmware虚拟机共享目录无法挂载的问题解决办法
- 关于压缩jar包时提示*.*没有这个文件或目录的问题以及解决办法:
- 遇到错误-----安装DBD:MySql模块遇到的问题及解决办法Can't exec "mysql_config": 没有那个文件或目录 at Makefile.PL line 479.
- 关于虚拟目录继承根Web.Config的问题解决办法
- [转]解决PHP相对目录问题最有效的办法