Множественные уязвимости в Lotus Notes и Domino

28.03.2003 | 15:22
Организация CERT 26 марта представила подробный отчет об уязвимостях, имеющихся в программных продуктах семейств Lotus Notes и Domino.

Часть из них была обнаружена еще в феврале компанией NGS Software. В марте другая компания, Rapid7, обнаружила в пакетах Lotus еще целый букет уязвимостей разной степени опасности. Эффект от их использования хакерами может выражаться по-разному - от организации DoS-атак до выполнения скриптов на удаленном компьютере.

Большинство уязвимостей актуальны для клиентов Lotus Notes и серверов Lotus Domino версий младше 5.0.12 или 6.0 Gold/6.01. Главным образом, дыры связаны с наличием ошибок переполнения буфера в различных компонентах Notes и Domino. Подобные ошибки, вообще, являются наиболее распространенными причинами уязвимости программных продуктов для хакерских атак. В основном, бреши уже заделаны в обновленных версиях программ IBM с порядковыми номерами 5.0.12 и 6.01.

Единственным исключением является дыра, связанная с наличием ошибки переполнения буфера метода класса COM, описывающим элементы управления в Lotus Notes и Domino. Если хакер заманит пользователя на веб-страницу с вредоносным HTML-кодом или пришлет его в электронном письме, он сможет захватить управление компьютером. Первоначально об этой критической уязвимости сообщила в феврале фирма NGS Software. Тогда дыра была ошибочно отнесена к одному из модулей ActiveX компонента iNotes. Это, однако, лишь один из сценариев атаки. На самом деле, дыра неспецифична для iNotes или ActiveX. К счастью, IBM уже выпустила соответствующие патчи, которые рекомендуется незамедлительно установить всем пользователям Lotus Notes и Domino.

Бюллетень CERT: http://www.cert.org/advisories/CA-2003-11.html.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.compulenta.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код