Sybase EAServer JPasswordField口令 信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1195399 漏洞类型 访问验证错误
发布时间 2006-04-13 更新时间 2007-06-26
CVE编号 CVE-2006-2539 CNNVD-ID CNNVD-200605-419
漏洞平台 N/A CVSS评分 3.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200605-419
|漏洞详情
SybaseEAServer(EnterpriseApplicationServer)是美国Sybase公司的一款基于J2EE的、企业级的应用服务器。该服务器提供企业级WebSite、分布式和主从式架构的解决方案。在UNIX和LINUX平台上的J2EE或JavaGUI应用程序中使用口令字段时存在安全漏洞。1如果用户在GUI应用程序的口令提示对话框中输入了口令但没有点击"确定"或"输入"的话,就会保持口令对话框一直打开,因此其他可以物理访问机器的用户就可以访问所输入的口令。通过远程控制软件访问机器的用户也可以访问该口令。2如果GUI应用程序允许使用JPasswordFieldUI组件存储、检索或共享口令信息的话,则即使所存储的口令是加密的并储存在受到保护的操作系统文件中,拥有合适访问级别的用户也可以在使用相同的GUI应用程序时浏览明文口令。
|参考资料

来源:www.sybase.com
链接:http://www.sybase.com/detail?id=1040665
来源:BID
名称:18036
链接:http://www.securityfocus.com/bid/18036
来源:VUPEN
名称:ADV-2006-1869
链接:http://www.frsirt.com/english/advisories/2006/1869
来源:SECUNIA
名称:20145
链接:http://secunia.com/advisories/20145
来源:XF
名称:sybase-easerver-jpasswordfield-obtain-info(26567)
链接:http://xforce.iss.net/xforce/xfdb/26567