Множественные уязвимости в IBM Lotus Sametime

Дата публикации:
11.08.2003
Дата изменения:
22.05.2008
Всего просмотров:
1110
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM Lotus Sametime 3.x
Уязвимые версии: IBM Lotus Sametime версии 1.5 и 3.0

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным. Все уязвимости связаны с ошибками в реализации шифрования на основе симметричного RC2 40-битного алгоритма.

1. Секретный ключ, используемый для шифрования/дешифровки распространяется между двумя системами путем включения его непосредственно в аутентификационные пакеты. Злоумышленник может перехватить ключ и расшифровать передаваемые зашифрованные данные.

2. 10 символьные RC2 пароли генерируются только с использованием ASCII представления для десятичных чисел 0-9, что уменьшает количество возможных комбинаций с 256^6 до 10^10.

3. Первые 6 байт зашифрованного поля пароля никогда не изменяются. Злоумышленник может дешифровать пароли пользователей используя известные атаки.

URL производителя: www.lotus.com/products/lotussametime.nsf/wdocs/homepage

Решение: Установите последнюю версию с сайта производителя.

Ссылки: defeating Lotus Sametime "encryption"

или введите имя

CAPTCHA