IBM Lotus Notes számos sérülékenysége

CH azonosító

CH-775

Felfedezés dátuma

2007.10.24.

Súlyosság

Magas

Érintett rendszerek

IBM
Lotus Notes

Érintett verziók

IBM Lotus Notes 6 -7.x

Összefoglaló

Távoli támadók érzékeny információkat szerezhetnek meg és feltörhetik az érintett rendszert.

Leírás

Számos sérülékenységet jelentettek az IBM Lotus Notes termékében, amit rosszindulatú támadók és felhasználók kihasználhatnak érzékeny adatok megszerzésére, biztonsági korlátok megkerülésére, vagy az érintett rendszerek feltörésére.

  1. Hibák a külső fájl formátumok megtekintőiben (mifsr.dll, awsr.dll, kpagrdr.dll, exesr.dll, rtfsr.dll, mwsr.dll, exesr.dll, wp6sr.dll, and lasr.dll) lehetővé teszik a puffer túlcsordulás előidézését, ha egy felhasználót sikerül rászedni rosszindulatú csatolmányok megnyitására.
    A sikeres kiaknázás kártékony kód lefuttatásához teremt lehetőséget.
  2. A HTML üzenetek szintaktikai kezelésekor fellépő határhiba kiaknázható arra, hogy puffer túlcsordulás következzen be.
    A sikeres kiaknázás kártékony kód lefuttatásához teremt lehetőséget.
  3. Az ECL (Execution Control List) mechanizmus egy hibája oda vezet, hogy a csatolmányok automatikusan megnyílnak a választás felkínálása helyett.
  4. A megosztott memória engedélyezésének bizonytalanságai oda vezethetnek, hogy helyi felhasználók hozzáférést teremthetnek más felhasználók adataihoz.
  5. Egy olyan hibáról is jelentés érkezett, amely lefagyasztja a rendszert, ha speciálisan elkészített SMTP válaszok érkeznek.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »