IBM Lotus Domino - Mehrere kritische Lücken
Kritisch: Eine Reihe von Schwachstellen wurde in Lotus Domino gefunden. Einige lassen sich für Denial-of-Service-Angriffe nutzen, andere haben unbekannte Auswirkungen.
| Veröffentlichung | 07.11.2005 |
|---|---|
| Warnstufe | Kritisch |
| Auswirkung | Denial of Service unbekannt |
| Angriffsweg | von extern |
| OS | Linux Microsoft Windows Unix |
| Software | IBM Lotus Domino 6.x |
Beschreibung
Eine Reihe von Schwachstellen wurde in Lotus Domino gefunden. Einige lassen sich für Denial-of-Service-Angriffe nutzen, andere haben unbekannte Auswirkungen.
(1) Ein Fehler tritt bei der Verarbeitung von E-Mail-Regeln auf, die mittels DWA (Domino Web Access) erstellt wurden. Dies kann der Angreifer ausnutzen und den Domino-Server abstürzen lassen, wenn mehr als 150 Regeln in der Mail-Datenbank abgelegt werden.
(2) Ein Fehler Out-Of-Office-Agent tritt bei der Verarbeitung von Nachrichten auf, wenn das Feld „From“ mehr als 256 Zeichen enthält. Angreifer können dadurch den Agent Manager abstürzen lassen.
(3) Die Agenten und die MIME-to-CD-Konvertierung enthalten mehrere Fehler, die unbekannte Auswirkungen haben.
(4) Ein weiterer Fehler tritt bei der Verarbeitung von ungültigen http-Adressen im DWA auf. Dadurch kann der http-Server zum Absturz gebracht werden.
(5) Durch einen Fehler im Mail-Router kann dieser zum Absturz gebracht werden. Der Fehler tritt auf, wenn die Mail-Box eines Nutzers einen ungültigen Anhang enthält und dieser via SMTP versendet wird.
(6) Ein letzter Fehler schließlich existiert im Update-Task. Er tritt auf, wenn die Ansicht des aktualisiert wird. Enthält das Namensfeld der persönlichen Informationen eines Nutzers mehr als 256 Leerzeichen, kann der Domino-Server zum Absturz gebracht werden.
(1) Ein Fehler tritt bei der Verarbeitung von E-Mail-Regeln auf, die mittels DWA (Domino Web Access) erstellt wurden. Dies kann der Angreifer ausnutzen und den Domino-Server abstürzen lassen, wenn mehr als 150 Regeln in der Mail-Datenbank abgelegt werden.
(2) Ein Fehler Out-Of-Office-Agent tritt bei der Verarbeitung von Nachrichten auf, wenn das Feld „From“ mehr als 256 Zeichen enthält. Angreifer können dadurch den Agent Manager abstürzen lassen.
(3) Die Agenten und die MIME-to-CD-Konvertierung enthalten mehrere Fehler, die unbekannte Auswirkungen haben.
(4) Ein weiterer Fehler tritt bei der Verarbeitung von ungültigen http-Adressen im DWA auf. Dadurch kann der http-Server zum Absturz gebracht werden.
(5) Durch einen Fehler im Mail-Router kann dieser zum Absturz gebracht werden. Der Fehler tritt auf, wenn die Mail-Box eines Nutzers einen ungültigen Anhang enthält und dieser via SMTP versendet wird.
(6) Ein letzter Fehler schließlich existiert im Update-Task. Er tritt auf, wenn die Ansicht des aktualisiert wird. Enthält das Namensfeld der persönlichen Informationen eines Nutzers mehr als 256 Leerzeichen, kann der Domino-Server zum Absturz gebracht werden.
Lösung
Aktualisieren Sie auf Version 6.5.4 Fix Pack 2.
http://www14.software.ibm.com/webapp/download/search.jsp?dt=SOFTWARE UPDATE
http://www14.software.ibm.com/webapp/download/search.jsp?dt=SOFTWARE UPDATE
Original Security-Report
http://www-10.lotus.com/ldd/r5fixlist.nsf/8c4f0b18f61ab80585256cb400719709/59999026d2bf23e8852570a5006b0a5d?OpenDocument
http://www-1.ibm.com/support/docview.wss?uid=swg21217930
http://www-1.ibm.com/support/docview.wss?uid=swg21178185
http://www-1.ibm.com/support/docview.wss?uid=sim4258394eaa824f2c08525708a004209d3
http://www-1.ibm.com/support/docview.wss?uid=sim40e6ec9da8a301a718525709200001dd0
http://www-1.ibm.com/support/docview.wss?uid=sim4d1150fc9c5dec8b18525709200001da6
http://www-1.ibm.com/support/docview.wss?uid=swg21214760
http://www-1.ibm.com/support/docview.wss?uid=swg21208673
http://www-1.ibm.com/support/docview.wss?uid=swg21206493
http://www-1.ibm.com/support/docview.wss?uid=swg21217930
http://www-1.ibm.com/support/docview.wss?uid=swg21178185
http://www-1.ibm.com/support/docview.wss?uid=sim4258394eaa824f2c08525708a004209d3
http://www-1.ibm.com/support/docview.wss?uid=sim40e6ec9da8a301a718525709200001dd0
http://www-1.ibm.com/support/docview.wss?uid=sim4d1150fc9c5dec8b18525709200001da6
http://www-1.ibm.com/support/docview.wss?uid=swg21214760
http://www-1.ibm.com/support/docview.wss?uid=swg21208673
http://www-1.ibm.com/support/docview.wss?uid=swg21206493
Diese Security-News basiert auf einem Advisory von Secunia:
http://www.secunia.com/advisories/17429/
Gratis-Apps für Smartphones und Tablet-PCs
Holen Sie sich die kostenlosen TecChannel-Apps für
iPhone, iPad, Android, bada und Windows 7 Slate. Oder nutzen Sie mobil.tecchannel.de für alle Geräte.
