关键漏洞信息 漏洞概述 漏洞名称: 弱密码保护在WebSphere 4.0.4 XML配置导出 CVE编号: CVE-2003-1447 风险级别: 中等 CVSS评分: 1.9/10 漏洞细节 问题描述: 导出的Websphere XML配置中的密码保护不足。如果导出的配置落入恶意用户手中,他们可以轻松地去混淆密码并获取密码保护的资源访问权限。 受影响版本: - WebServer Advanced Server 4.0.4 - 其他版本也可能受到影响 不受影响版本: - 未知 影响和风险 CVSS评分细分: - 基本评分: 1.9/10 - 影响子评分: 2.9/10 - 机密性影响: 部分 - 完整性影响: 无 - 可用性影响: 无 - 可利用性子评分: 3.4/10 - 攻击复杂性: 中等 - 认证: 不需要 解决方案和缓解措施 风险降低措施: 管理员应确保将配置导出到仅管理员可访问的目录中,并在使用后销毁导出文件。 漏洞细节: 导出的配置包括访问密钥材料和数据源所需的密码,这些密码已混淆并Base64编码。 - 混淆算法: - CASRofucated(n) = CHAR(password(n) XOR CHAR('_')) - ObfuscatedPasswordBase64Encoded = Base64Encode(ObfuscatedPassword) - 反混淆过程: - ObfuscatedPassword = Base64Decode(ObfuscatedPasswordBase64Encoded) - CHARpassword(n) = CHARofucated(n) XOR CHAR('_') 参考信息 发布日期: 2007.10.23 作者: Jan P. Monsch 网站: http://www.csnc.ch/