Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2003 > CERT-FI haavoittuvuustiedote 016/2003

CERT-FI haavoittuvuustiedote 016/2003

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

13.3.2003

Haavoittuvuuksia Lotus Notes / Domino ohjelmistoissa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

Lotus Notes ja Lotus Domino muodostavat yhdessä erityisesti yrityskäytössä suositun ohjelmiston. Lotus Domino on sovellus-palvelinohjelmisto ja Notes web-pohjainen muun muassa viestien hallintaan tarkoitettu palvelinohjelmisto. Lotus Notes / Domino ohjelmistoista on löydetty seuraavat haavoittuvuudet:

  • Puskuriylivuotohaavoittuvuus käyttäjän todentamisessa. Ylivuoto tapahtuu asiakkaan lähettäessä palvelimelle tietyntyyppisen DN (distinguished name) -tunnisteen. Haavoittuvuutta hyväksikäyttämällä hyökkääjä, jolla ei ole järjestelmään oikeuksia, voi mahdollisesti suorittaa kohdejärjestelmässä omia komentojaan.

  • Lotus Notes/Domino ohjelmistossa on ominaisuus, mikä mahdollistaa WWW:n käytön Notes järjestelmän kautta. Ominaisuudessa olevan haavoittuvuuden vuoksi ylipitkä HTTP -status rivi aiheuttaa ohjelmiston kaatumisen. Haavoittuvuutta hyväksikäyttämällä voidaan mahdollisesti kohdistaa järjestelmään palvelunestohyökkäys.

  • Haavoittuvuus Lotus Notes/Domino -ohjelmiston LDAP-protokollatoteutuksessa. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa järjestelmässä omia komentojaan tai kohdistaa siihen palvelunestohyökkäyksen.

HAAVOITTUVAT OHJELMISTOT:

Ensin mainitulle haavoittuvuudelle ovat alttiita ainakin seuraavat Lotus Notes ohjelmistoversiot: versiot R4, kaikki R5 versiot versioon R5.0.11 saakka sekä R6 beta ja pre-release -versiot.

Toiseksi mainitulle haavoittuvuudelle ovat alttiita ainakin seuraavat versiot: Lotus Notes/Domino versio R4.5, R4.6, R5 (pois lukien R5.0.12) sekä R6 beta (pre-gold) -versio.

Viimeksi mainitulle haavoittuvuudelle ovat alttiita Lotus Notes/Domino R6 pre-release ja beta -versiot sekä Lotus Domino versio R5.0.7 ja sitä aikaisemmat versiot.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeiden mukaisesti.

LISÄTIETOA:

http://www-10.lotus.com/ldd/r5fixlist.nsf/Search?SearchView&Query=DBAR5CJJJS

http://www-1.ibm.com/support/docview.wss?rs=482&q=Domino&uid=swg21105101

http://www-10.lotus.com/ldd/r5fixlist.nsf/Search?SearchView&Query=KSPR5DFJTR

http://www-1.ibm.com/support/docview.wss?rs=482&q=Domino&uid=swg21105060

http://www.rapid7.com/advisories/R7-0010.html

http://www.rapid7.com/advisories/R7-0011.html

http://www.rapid7.com/advisories/R7-0012.html

CVE-2001-1311 CVE-2003-0123 CVE-2003-0122

PÄIVITYSHISTORIA:

13.03.2003: Julkaistu
Sivua päivitetty 09.08.2007   Tulostusversio Tulostusversio