中国站

Sybase EAServer JPasswordField口令 信息泄露漏洞

CNNVD-ID编号 CNNVD-200605-419 CVE编号 CVE-2006-2539
发布时间 2006-04-13 更新时间 2007-06-26
漏洞类型 访问验证错误 漏洞来源 N/A
危险等级 低危 威胁类型 本地
厂商 sybase

漏洞介绍

Sybase EAServer(Enterprise Application Server)是美国Sybase公司的一款基于J2EE的、企业级的应用服务器。该服务器提供企业级Web Site、分布式和主从式架构的解决方案。

在UNIX和LINUX平台上的J2EE或Java GUI应用程序中使用口令字段时存在安全漏洞。

1 如果用户在GUI应用程序的口令提示对话框中输入了口令但没有点击\"确定\"或\"输入\"的话,就会保持口令对话框一直打开,因此其他可以物理访问机器的用户就可以访问所输入的口令。通过远程控制软件访问机器的用户也可以访问该口令。

2 如果GUI应用程序允许使用JPasswordField UI组件存储、检索或共享口令信息的话,则即使所存储的口令是加密的并储存在受到保护的操作系统文件中,拥有合适访问级别的用户也可以在使用相同的GUI应用程序时浏览明文口令。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://downloads.sybase.com/

参考网址

受影响实体

信息来源

查询漏洞

    • 漏洞名称
    • CVE编号
    • CNNVD编号
  • 开始时间

  • 结束时间