发布日期：2009-07-09
更新日期：2009-07-10

受影响系统：

IBM Lotus Sametime 6.5.1

描述：

---

BUGTRAQ  ID: 35614

Lotus Sametime是IBM推出的统一商务协作平台，集成了即时消息与Web会议、语音通讯、移动设备等服务。

在试图登录到Lotus Sametime时，如果用户提交的是有效的用户名和无效口令，服务器经过5-8秒返回Invalid logon出错消息，而如果提及了无效的用户名和无效的口令，只需1-3秒就会返回上述出错消息。攻击者可以利用这个时间上的差异判断用户名是否有效。

<*来源：Karan Khosla
  
  链接：http://www.senseofsecurity.com.au/advisories/SOS-09-004.pdf
*>

建议：

---

厂商补丁：

IBM
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ers.ibm.com/

浏览次数：2548
严重程度：0（网友投票）