Поделиться
IBM Lotus Software латает "дыры" в Lotus Domino 6
IBM Lotus Software исправил ошибки в своем веб-серверном ПО Lotus Domino 6, которые позволяли удаленно создавать на сервере проблему переполнения буфера. Впервые сообщение об этом появилось в середине января, отмечает английская компания по безопасности ПО Next Generation Security Software Ltd. “Заплатки”, исправляющие ошибки, доступны для загрузки с веб-сайта Lotus.Англичане обнаружили две уязвимости, позволяющие проводить атаку типа “отказ от обслуживания” в Domino 6. Кроме того, обнаружена уязвимость потока буфера при совершении операции перенаправления, благодаря которой у атакующего появляется возможность создать переполнение буфера и захватить контроль над процессом Domino Web Services.
Также найдены уязвимости в iNotes, включая возможность удаленного создания переполнения буфера, когда атакующий посылает слишком длинную переменную для s_ViewName/Foldername в параметре PresetFields при запросе почтовых сервисов. Другая ошибка в системе безопасности iNotes сосредоточена вокруг управления ActiveX в iNotescalled Lotus Domino Session ActiveX Control. Использовав слишком длинную переменную в методе InitializeUsingNotesUserName, атакующий может запустить произвольный код на конкретной локальной машине в контексте безопасности как авторизованный пользователь.
Катрин Спанбауэр (Katherine Spanbauer), менеджер по разработкам безопасности Domino, заявила, что выпущенный недавно релиз техподдержки решает эти и другие проблемы переполнения памяти, обнаруженные специалистами Lotus в ходе их собственных тестов.
Источник: по материалам сайта EWeek.
Короткая ссылка
