首页 -> 安全研究
安全研究
绿盟月刊
绿盟安全月刊->第39期->最新漏洞
日期:2003-03-03
发布日期:2003-02-17
更新日期:2003-02-24
受影响系统:
Lotus Domino 6.0
不受影响系统:
Lotus Domino 6.0.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 6871
Lotus Domino Web服务器是一款商业性质HTTPD服务程序,提供多种服务,包括EMAIL,可运行在Linux/Unix和Microsoft Windows操作系统平台下。
Lotus Domino iNotes Web服务程序对用户提供的请求参数缺少正确边界缓冲区检查,远程攻击者可以利用这个漏洞进行缓冲区溢出攻击,可能以Domino进程权限在系统上执行任意指令。
当请求基于WEB的邮件服务时,攻击者提供超长的值给PresetFields参数的s_ViewName/Foldername选项,可导致iNotes发生缓冲区溢出,精心构建提交数据可能以Web进程权限在系统上执行任意指令。
<*来源:NGSSoftware Insight Security Research (nisr@nextgenss.com)
链接:http://www.nextgenss.com/advisories/lotus-inotesoflow.txt
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Lotus
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到Domino 6.0.1版本:
Lotus Domino 6.0:
IBM Upgrade Lotus Domino 6.0.1 Upgrade
http://www14.software.ibm.com/webapp/download/search.jsp?q=&cat=&pf=&k=&dt=&go=y&rs=ESD-DMNTSRVRi&S_TACT=&S_CMP=&sb=r
版权所有,未经许可,不得转载