CH azonosító
CH-4135Angol cím
IBM Lotus Notes Traveler Multiple VulnerabilitiesFelfedezés dátuma
2010.12.22.Súlyosság
AlacsonyÉrintett rendszerek
IBMLotus Notes
Lotus Notes Traveler
Érintett verziók
IBM Lotus Notes Traveler 8.x
Összefoglaló
Az IBM Lotus Notes Traveler több sérülékenységét is jelentették, melyeket a rosszindulatú felhasználók kihasználhatnak egyes biztonsági korlátozások megkerülésére, a támadók pedig cross-site scripting (XSS/CSS) támadásokat folytathatnak és szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
- Egyes, részletesen nem ismertetett, bemenetek ellenőrzése nem megfelelő mielőtt a felhasználóknak visszaadnák azokat. Ez kihasználható tetszőleges HTML és script kód lefuttatására mialatt a felhasználó az érintett oldalon böngészik.
- A Traveler szever nem helyesen alkalmaz bizonyos szabályokat a Traveler szever-től különböző domain-ek mobil felhasználóira vonatkozóan, ez kihasználható az elvárt házirend megkerülésére.
A sikeres kiaknázás feltétele a több domain-ből álló környezet, valamint a támadónak rendelkeznie kell a Traveler szervertől eltérő domain-hez való tanúsítvánnyal. - A Nokia kliens a felhasználók számára nem nyújt megfelelő korlátozásokat a “Replace Data” funkció használatakor, például az alkalmazásokban a sync le van tiltva.
- Egy hibát okoz azoknak a dokumentumoknak a feldolgozása, melyek szándékosan rosszul megformázott adatot tartalmaznak, ez kihasználható a sync folyamat helyes befejeződésének megakadályozására.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Security bypass (Biztonsági szabályok megkerülése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www-10.lotus.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
SECUNIA 39880
CVE-2010-4544 - NVD CVE-2010-4544
CVE-2010-4547 - NVD CVE-2010-4547
CVE-2010-4549 - NVD CVE-2010-4549
CVE-2010-4550 - NVD CVE-2010-4550