作家
登录

Lotus Domino信息泄露及缓冲区溢出漏洞

作者: 来源: 2012-06-12 21:55:44 阅读 我要评论

发布日期:2007-10-23
更新日期:2007-10-24

受影响系统:
IBM Lotus Domino 8.0
IBM Lotus Domino 7.0.2
IBM Lotus Domino 7.0
IBM Lotus Domino 6.5.6
IBM Lotus Domino 6.5
IBM Lotus Domino 6.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 26176

Lotus Domino/Notes服务器是一款基于WEB合作的应用程序架构,运行在Linux/Unix和Microsoft Windows操作系统平台下。

Lotus Domino/Notes实现上存在多个安全漏洞,远程攻击者可能利用这些漏洞获取敏感信息或控制服务器。

如果Domino服务器上配置启用了IMAP服务的话,则拥有有效凭据且在TCP 143端口上创建了到IMAP Domino服务器的TCP会话的攻击者可以触发缓冲区溢出,导致拒绝服务或执行任意指令。

如果结合特定的@公式命令使用Evaluate LotusScript方式设计视图和代理的话,就可能返回用户通常无法访问的信息,具体取决于视图和代理的编写方式和当时服务器或用户的身份。

如果要使用基于Domino服务器的CA进程,就必须在服务器控制台上发布一些命令,其中的activate(tell ca activate <certifier number> <password>)和unlock(tell ca unlock <idfile> <password>)命令要求使用口令,但某些Domino版本会在console.log文本文件和管理面板中明文显示口令。

<*来源:iDEFENSE
Daniel Nashed

链接:http://www-1.ibm.com/support/docview.wss?uid=swg21270623
http://www-1.ibm.com/support/docview.wss?uid=swg21273266
http://www-1.ibm.com/support/docview.wss?uid=swg21261095
http://secunia.com/advisories/27321/
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

* 在控制台上全部以小写字母输入CA activate或unlock命令。
* 在防火墙限制通过IMAP到Domino服务器的访问。

厂商补丁:

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.ers.ibm.com/

【相关文章】

  • 浏览更多漏洞补丁信息

  推荐阅读

  红帽为Linux 5内核发布9个补丁 修补系统拒绝服务漏洞

红帽为Enterprise Linux 5内核的漏洞发布9个补丁,红帽表示,这些漏洞会导致服务拒绝,而且黑客可以利用漏洞进行系统访问。红帽称,在出现的漏洞中,有三个属于重要级(important),五个中等级(moderate)和一个微>>>详细阅读


本文标题:Lotus Domino信息泄露及缓冲区溢出漏洞

地址:http://www.17bianji.com/anquan/buding/2461.html

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

精彩导读
栏目ID=71的表不存在(操作类型=0)