Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2007 > CERT-FI haavoittuvuustiedote 189/2007

CERT-FI haavoittuvuustiedote 189/2007

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

24.12.2007

Lotus Domino Web Access ActiveX-komponentin haavoittuvuus

     
Kohde: - työasemat ja loppukäyttäjäsovellukset
Lisätietoja
Hyökkäystapa: - ilman kirjautumista
- etäkäyttö
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
Lisätietoja
Ratkaisu: - ongelman rajoittaminen
Lisätietoja

IBM Lotus Domino -ohjelmistoon sisältyvästä Domino Web Access-ActiveX -komponentista on löytynyt useita ylivuotohavoittuvuuksia. Hyökkääjä voi suorittaa kohdejärjestelmässä haluamiansa komentoja houkuttelemalla käyttäjä räätälöimälleen www-sivulle. Haavoittuvuuksiin on olemassa julkinen hyväksikäyttömenetelmä.

HAAVOITTUVAT OHJELMISTOT:

  • IBM Lotus Domino 7
  • IBM Lotus Domino 6

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Haavoittuvuuksiin ei ole tällä hetkellä korjausta.

ActiveX-komponenttien (CLSID:3BFFE033-BF43-11d5-A271-00A024A51325 ja CLSID:E008A543-CEFB-4559-912F-C27C2B89F13B) ajamisen voi kieltää väliaikaisesti Microsoftin sivuilla kuvatuilla tavoilla: http://support.microsoft.com/kb/240797

LISÄTIETOA:

http://secunia.com/advisories/28184/
http://www.kb.cert.org/vuls/id/963889
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4474

PÄIVITYSHISTORIA:

24.12.2007, kello 0.03: Julkaistu

Sivua päivitetty 24.12.2007   Tulostusversio Tulostusversio