Sonstiges > Offtopic

heise: IBMs-Lotus-Domino-laesst-sich-Code-unterschieben

(1/3) > >>

WernerMo:
Hallo

gerade bei heise gefunden:


http://www.heise.de/newsticker/IBMs-Lotus-Domino-laesst-sich-Code-unterschieben--/meldung/108239

Gruß Werner

- edit (14:07 Uhr) -
was mich irritiert, nur in einem der beiden Dokument von IBM ist davon die Rede:
"Attacker must be able to authenticate"
im anderen nicht, das würde heißen, dass jeder Server mit http-Task von jedem Angreifer kompromitiert werden kann? buh

m3:
Die 1303057 ist ein Stack-Overflow Bug (schlampige Programmierung im Web-Server Code), der den Server zum Absturz bringen kann. Da brauchts keine Anmeldung, da reicht es, wenn der http-Request vom Server entgegengenommen wird, wurscht ob wer angemeldet ist, oder nicht.

Der hat mit dem anderen (1303296) Bug nix zu tun.

WernerMo:
Hallo,

danke Martin, für die Differenzierung, habe ich inzwischen auch gemerkt, aber dennoch kompromitieren beide den Webserver.

Das Eigenartige ist nur, dass in der Fixliste zum FP1 diese beiden SPRs nicht genannt sind.

Ich vermute da wird bei mir nichts aus dem Feiertag morgen, für Tests unter 7.03 FP1 geht der morgige Tag garantiert drauf. Hoffentlich hilft es dann wenigsten.

Gruß Werner

hallo.dirk:
Hab grade einen PMR für 6.5.x aufgemacht.

Da hält sich IBM etwas zurrück...

WernerMo:
Hallo

mein PMR ist seit 13:56 offen: ..821
Zwischenergebnis steht in meinem zweiten Beitrag s.o.

Gruß Werner
-edit-
bei mir ist es aber für 7.0.2 FP2 (mit Hotfix 702FP2HF745)

Navigation

[0] Themen-Index

[#] Nächste Seite