Sybase EAServer JPasswordField口令 信息泄露漏洞

Sybase EAServer（Enterprise Application Server）是美国Sybase公司的一款基于J2EE的、企业级的应用服务器。该服务器提供企业级Web Site、分布式和主从式架构的解决方案。

在UNIX和LINUX平台上的J2EE或Java GUI应用程序中使用口令字段时存在安全漏洞。

1 如果用户在GUI应用程序的口令提示对话框中输入了口令但没有点击\"确定\"或\"输入\"的话，就会保持口令对话框一直打开，因此其他可以物理访问机器的用户就可以访问所输入的口令。通过远程控制软件访问机器的用户也可以访问该口令。

2 如果GUI应用程序允许使用JPasswordField UI组件存储、检索或共享口令信息的话，则即使所存储的口令是加密的并储存在受到保护的操作系统文件中，拥有合适访问级别的用户也可以在使用相同的GUI应用程序时浏览明文口令。