最近一周,在BugTraq的Internet 邮件列表中报告了 “Domino 服务器目录‘横穿’(Traversal)缺陷”,经证实这确实是一个问题,R5.06a正在修复。应敦促在Domino服务器上运行HTTP服务器任务的客户在R5.06a完成后立即升级。与此同时,下面是简单的应对方法。
Q&A
Q:“目录‘横穿’(Traversal)”缺陷的实质是什么?
A:给出已知路径和文件名,就能够访问到运行HTTP任务的Domino服务器上的文件。这受安装Domino服务器的文件系统(或驱动器)的限制。你不可能浏览文件系统,但如果能够猜出当前文件名,就能够访问它。
Q:影响哪些Domino版本?
A:R5.0 - R5.06 不影响R4x
Q:我如何跟踪这个问题?
A:软件问题报告(SPR)的编号为KSPR4SPQ5S。问题修复后就会列入Notes.net上的修复列表(Fix List)数据库----www.notes.net/R5FixList.nsf
Q:Lotus计划如何解决这个问题?
A:Lotus 高度重视这个问题,修复版正在测试中。修复计划在R5.06a中进行,并且一旦修复版完成就会放到http://www.notes.net上。
Q:是否有应对办法?
A:有。在R5.06a完成以前,推荐使用以下应对方案:
1.打开Administration Client
2.选择希望配置的服务器
3.在“配置”标签页的“服务器”区段中,选择当前服务器文档
点击“Web”按钮
选择“创建URL 映射/重定位文档”
4.在URL重定位文档中
在“基本”标签页选择URLà重定位URL
在“映射”标签页
输入的 URL: *..*
重定位 URL: [指定你希望用户重定位到的URL,例如
http://hostname/homepage.nsf
http://hostname/message.html]
注意:指定的URL必须是外部的重定位,而不能是内部的重定位。因此,http://myserver/message.html是有效的,而/message.html是无效的。
5.保存文档
6.重起HTTP任务
Q: 影响哪些操作系统?
A: 代码修复并不特别针对哪个操作系统。Lotus QE 在Windows NT/2000,OS/2,WinNT Alpha 等平台上重现了这个问题。QE 无法在Unix ,Linux,AS/400或S/390上重现此问题,但客户不应当就认为这些系统难于攻击。这可能仅仅是因为这些系统有更加严格的文件系统许可设置。
Q: 如果不将Domino作为Web服务器,是否还存在这个问题?
A: 不存在。这个问题是特别针对运行HTTP任务或Domino for IIS的Domino系统的。
Q: 是否影响QuickPlace?
A: 是的。Lotus 正在计划推出R2.06a以解决这个问题。QuickPlace服务器的Administrator也应当实施URL重定位的应对方案。
Q: 如果不采用Notes Client管理Domino服务器,是否有其它应对方案?
A: 可以在 httpd.cnf文件中加入下列内容,执行类似的URL重定位。
Map *..* /filename.nsf
Q: 有人推荐采用文件保护文档作为应对方法。Lotus 认为如何?
A: 文件保护文档并不能解决这个问题的所有可能的出现。客户应当代之以回应中推荐的URL重定位文档。另外,强烈推荐客户在R5.06a完成后立即升级。
Q: BugTraq 的报告中声称R4.67也被影响了,是吗?
A: Lotus QE无法在任何R4.x版本上重现这个问题。
Q: R5.06a何时能够完成?
A: 一旦版本的回归测试完成,R5.06a就会放到http://notes.net上。
Q: 其它版本(例如R5.04或R5.05)是否会有QMU(Quarterly Maintenance Unit)?
A: 客户需要升级到R5.06a。
Q: 如果应用中使用带有“..”的URL,这种应对方法是否会中断这些应用?
A: 测试表明应用代码中的URL仍然是有效的。只有当用户在浏览器中直接键入带有“..”的URL时,重定位才会发生。这是唯一Lotus推荐的应对方案。
Q: 如果运行虚拟服务器,是否需要问每一个虚拟服务器都创建一个URL重定位文档?
A: 不需要。如果在文档中不特别指定一个IP地址,重定位将作用于机器上的所有虚拟服务器。
Q: 是否所有浏览器都能重现此错误?
A: 不是。只有某些浏览器发生了这样的问题。但是,这只说明一些用户重现这个问题有困难。因此仍然应该对所有Domino Web Server实施应对方案和升级。
Q: 是否还可以采取其它措施以降低出现这种缺陷的机会?
A: 下面的列表并不全面,但是一些快速的措施:
用口令保护Server id
以一个唯一的文件名重命名Server id
用Server 的id本地加密系统数据库(以及其它名字容易被猜到的数据库)
在隔离的文件系统中存储Domino目录
在服务器文档中禁止目录浏览
欲获得更多加强系统安全性的信息,请参看以下资料:
IBM红皮书,“Notes and Domino R5 Security Infrastructure Revealed”
http://notes.net的Iris Today 中发布的有关安全机制的文章
http://www.lotus.com/security Lotus Security Zone网站上的白皮书
