Összefoglaló
Az IBM Lotus Domino sérülékenységeit jelentették, melyeket rosszindulatú támadók cross-site scripting támadások kezdeményezésére vagy a sérülékeny rendszer feltörésére használhatnak.
Leírás
Az IBM Lotus Domino sérülékenységeit jelentették, melyeket rosszindulatú támadók cross-site scripting támadások kezdeményezésére vagy a sérülékeny rendszer feltörésére használhatnak.
-
A Lotus Domino Web Server határhibáját kihasználva verem túlcsordulást lehet okozni egy speciális, túlságosan hosszú “Accept-Language” fejlécet tartalmazó, HTTP kérés segítségével.
A sikeres kiaknázás lehetővé teszi tetszőleges kód végrehajtását. - A servlet engine/Web container számára átadott bizonyos meg nem határozott bevitel nincs megfelelően megtisztítva, mielőtt használatba vennék. Ez kihasználható tetszőleges HTML és script kódok végrehajtására a felhasználó böngészőjének munkamenetében az érintett oldallal kapcsolatban.
A sérülékenységet a 6.x verziókra jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 30310
Egyéb referencia: www.mwrinfosecurity.com
Gyártói referencia: www-1.ibm.com
Gyártói referencia: www-1.ibm.com
SECUNIA 30332
CVE-2008-2240 - NVD CVE-2008-2240