Kritische Pufferüberlaufschwachstellen

[Hoshee]

[Generic/Lotus Notes, Lotus Domino] Kritische
Pufferüberlaufschwachstellen
(2003-02-17 21:45:48.110544+01)
Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2003/02/msg00192.
html

Lotus Notes und Lotus Domino Version 6 weisen
Pufferüberlaufschwachstellen auf, die über eine Netzwerkverbindung zur
Ausführung beliebigen Programmcodes ausgenutzt werden können.

Betroffene Systeme
* Lotus Notes und Domino Release 6

Nicht betroffene Systeme
* Lotus Notes und Domino Version 6.0.1

Einfallstor
Verbindung zum Lotus Domino Web Services Dienst.

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Lotus
Domino Web Services Dienstes.

Typ der Verwundbarkeit
buffer overflow bug

Gefahrenpotential
sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Der Lotus Domino Web-Server-Dienst weist eine gravierende
Schwachstelle auf, die über eine Netzwerkverbindung, ohne vorherige
Authentifizierung, zur Ausführung von beliebigem Programmcode
ausgenutzt werden kann. Lotus iNotes besitzt ferner eine
Pufferüberlaufschwachstelle bei der Verarbeitung von
s_ViewName/Foldername-Parametern.

Gegenmaßnahmen
Upgrade auf IBM Lotus Notes und Lotus Domino Version 6.0.1
* Lotus Notes:
[2]http://www14.software.ibm.com/webapp/download/search.jsp?q=&cat
=&pf=&k=&dt=&go=y&rs=ESD-NOTECLNTi&S_TACT=&S_CMP=&sb=r
* Lotus Domino:
[3]http://www14.software.ibm.com/webapp/download/search.jsp?q=&cat
=&pf=&k=&dt=&go=y&rs=ESD-DMNTSRVRi&S_TACT=&S_CMP=&sb=r

Weitere Information zu diesem Thema
* [4]Lotus Domino Web Server Host/Location Buffer Overflow
Vulnerability (#NISR17022003a)
* [5]Lotus Domino Web Server iNotes Overflow (#NISR17022003b)
* [6]Lotus iNotes Client ActiveX Control Buffer Overrun
(#NISR17022003c)

Aktuelle Version dieses Artikels
[7]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1078

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[8]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www14.software.ibm.com/webapp/download/search.jsp?q=&cat=&pf=&k=&dt=&go=y&rs=ESD-NOTECLNTi&S_TACT=&S_CMP=&sb=r
3. http://www14.software.ibm.com/webapp/download/search.jsp?q=&cat=&pf=&k=&dt=&go=y&rs=ESD-DMNTSRVRi&S_TACT=&S_CMP=&sb=r
4. http://cert.uni-stuttgart.de/archive/bugtraq/2003/02/msg00192.html
5. http://cert.uni-stuttgart.de/archive/bugtraq/2003/02/msg00193.html
6. http://cert.uni-stuttgart.de/archive/bugtraq/2003/02/msg00194.html
7. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1078
8. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE