IBM Lotus Domino - Mehrere kritische Luecken

[tschroeder]

Guten Morgen,

hab folgenden Newsletter bekommen :

[tecCHANNEL Security News - powered by Secunia]
Report vom 07.11.2005, laufende Nummer 7150

Ueberschrift:
IBM Lotus Domino  - Mehrere kritische Luecken

Onlineversion:
http://www.tecchannel.de/sicherheit/reports/7150.html



Warnstufe:
Kritisch

Auswirkungen:
Denial of Service
unbekannt

Angriffsweg(e):
von extern

Betriebssystem(e):
Linux
Microsoft Windows
Unix

Software:
IBM Lotus Domino 6.x

Beschreibung:
Eine Reihe von Schwachstellen wurde in Lotus Domino gefunden. Einige lassen sich
fuer Denial-of-Service-Angriffe nutzen, andere haben unbekannte Auswirkungen.

(1) Ein Fehler tritt bei der Verarbeitung von E-Mail-Regeln auf, die mittels DWA
(Domino Web Access) erstellt wurden. Dies kann der Angreifer ausnutzen und den
Domino-Server abstuerzen lassen, wenn mehr als 150 Regeln in der Mail-Datenbank
abgelegt werden.

(2) Ein Fehler Out-Of-Office-Agent tritt bei der Verarbeitung von Nachrichten
auf, wenn das Feld „From“ mehr als 256 Zeichen enthaelt. Angreifer koennen
dadurch den Agent Manager abstuerzen lassen.

(3) Die Agenten und die MIME-to-CD-Konvertierung enthalten mehrere Fehler, die
unbekannte Auswirkungen haben.

(4) Ein weiterer Fehler tritt bei der Verarbeitung von ungueltigen http-Adressen
im DWA auf. Dadurch kann der http-Server zum Absturz gebracht werden.

(5) Durch einen Fehler im Mail-Router kann dieser zum Absturz gebracht werden.
Der Fehler tritt auf, wenn die Mail-Box eines Nutzers einen ungueltigen Anhang
enthaelt und dieser via SMTP versendet wird.

(6) Ein letzter Fehler schliesslich existiert im Update-Task. Er tritt auf, wenn
die Ansicht des aktualisiert wird. Enthaelt das Namensfeld der persoenlichen
Informationen eines Nutzers mehr als 256 Leerzeichen, kann der Domino-Server zum
Absturz gebracht werden.

Loesung:
Aktualisieren Sie auf Version 6.5.4 Fix Pack 2.
http://www14.software.ibm.com/webapp/download/search.jsp?dt=SOFTWARE+UPDATE&q=Domino%20server

Original Security-Report:
http://www-10.lotus.com/ldd/r5fixlist.nsf/8c4f0b18f61ab80585256cb400719709/59999026d2bf23e8852570a5006b0a5d?OpenDocument
http://www-1.ibm.com/support/docview.wss?uid=swg21217930
http://www-1.ibm.com/support/docview.wss?uid=swg21178185
http://www-1.ibm.com/support/docview.wss?uid=sim4258394eaa824f2c08525708a004209d3
http://www-1.ibm.com/support/docview.wss?uid=sim40e6ec9da8a301a718525709200001dd0
http://www-1.ibm.com/support/docview.wss?uid=sim4d1150fc9c5dec8b18525709200001da6
http://www-1.ibm.com/support/docview.wss?uid=swg21214760
http://www-1.ibm.com/support/docview.wss?uid=swg21208673
http://www-1.ibm.com/support/docview.wss?uid=swg21206493

Gemeldet von:
IBM

------------------------------------------------------------------
Diese Security News basiert auf einem Advisory von Secunia:
http://www.secunia.com/advisories/17429
------------------------------------------------------------------

LG aus HH

[Gandhi]

(2) Ein Fehler Out-Of-Office-Agent tritt bei der Verarbeitung von Nachrichten
auf, wenn das Feld „From“ mehr als 256 Zeichen enthaelt. Angreifer koennen
dadurch den Agent Manager abstuerzen lassen.

Das ist ja hart...