Összefoglaló
Számos sérülékenységet jelentettek az IBM Lotus Domino termékekben, amit rosszindulatú támadók vagy felhasználók kihasználhatnak érzékeny adatok megszerzéséhez, biztonsági korlátok megkerüléséhez és az érintett rendszerek feltöréséhez.
Leírás
Számos sérülékenységet jelentettek az IBM Lotus Domino termékekben, amit rosszindulatú támadók vagy felhasználók kihasználhatnak érzékeny adatok megszerzéséhez, biztonsági korlátok megkerüléséhez és az érintett rendszerek feltöréséhez.
- Egy nem meghatározott hiba az IMAP szolgáltatásban kihasználható puffer túlcsordulás előídézéséhez.
- Van egy hiba a LotusScript-ben az “Evaluate” eljárás @ formula parancsok használata során. A nézetek és ügynökök tervezése közben előfordulhat, hogy a nézet vagy ügynök vissza küld olyan információkat, amikhez nincs jogosutsága.
- Egy biztonsági probléma a Domino CA (Certificate Authority) folyamatban, a szerver konzolnál kiadott parancs a jelszavak megjelenítését eredményezheti az Admin panelben és a console.log fájlban, amikor nagybetűs karaktereket használnak a CA “activate” vagy “unlock” parancsokkal.
- A megosztott memória nem megbízható jogosultságai lehetővé teszik bármely helyi felhasználónak a hozzáférést más felhasználók adatait tartalmazó memória területhez.
A sikeres kiaknázás lehetővé teheti tetszőleges kódok futtatását, de felhasználói jogosultság szükséges hozzá.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Crypthographical (Titkosítás)Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www-1.ibm.com
Gyártói referencia: www-1.ibm.com
Gyártói referencia: www-1.ibm.com
Gyártói referencia: www-1.ibm.com
Egyéb referencia: labs.idefense.com
CVE-2007-3510 - NVD CVE-2007-3510
SECUNIA 27321