CERT-FI haavoittuvuustiedote 171/2007
28.11.2007
Lotus Notes -ohjelmiston 1-2-3 File Viewer -haavoittuvuus
| |
|
|
| Kohde: |
- työasemat ja loppukäyttäjäsovellukset
|
Lisätietoja |
| Hyökkäystapa: |
- ilman kirjautumista
- etäkäyttö
|
Lisätietoja |
| Hyväksikäyttö: |
- komentojen mielivaltainen suorittaminen
- tietojen muokkaaminen
- luottamuksellisen tiedon hankkiminen
- suojauksen ohittaminen
|
Lisätietoja |
| Ratkaisu: |
- korjaava ohjelmistopäivitys
- ongelman rajoittaminen
|
Lisätietoja |
Lotus Notes -ohjelmistossa on puskurin ylivuotoon perustuva haavoittuvuus Lotus 1-2-3 -ohjelmalla tehtyjen liitetiedostojen (.123) katselussa. Hyökkäystarkoituksessa tehdyn liitetiedoston avaaminen kaksoisklikkaamalla voi joissakin tilanteissa mahdollistaa hyökkääjän ohjelmakoodin suorittamisen työasemassa. Haavoittuvuus koskee vain Notes -asiakasohjelmiston Windows-versioita, ei Domino-palvelinta.
HAAVOITTUVAT OHJELMISTOT:
- IBM Lotus Notes 5.x
- IBM Lotus Notes 6.x
- IBM Lotus Notes 7.x
- IBM Lotus Notes 8.x
RATKAISU- JA RAJOITUSMAHDOLLISUUDET:
- Lotus Notes 5.x: korjaavaa ohjelmistopäivitystä ei ole saatavilla. Valmistaja suosittelee File Viewer -toiminnon poistamista käytöstä.
- Lotus Notes 6.x: korjaava ohjelmistopäivitys on tulossa lähiaikoina. Ennen päivityksen asentamista valmistaja suosittelee File Viewer -toiminnon poistamista käytöstä.
- Lotus Notes 7.x ja 8.x: korjaava ohjelmistopäivitys on saatavilla valmistajan tukipalvelusta. Vaihtoehtoisesti valmistaja suosittelee File Viewer -toiminnon poistamista käytöstä.
LISÄTIETOA:
PÄIVITYSHISTORIA:
28.11.2007, kello 8.36: Julkaistu
| Sivua päivitetty 28.11.2007 |
|
 |
Tulostusversio |
