Kritiske feil i eldre Domino

Det er blitt oppdaget to sårbarheter i IBM Lotus Domino som kan utnyttes av ondsinnede til å utføre XSS-angrep (Cross-site Scripting) og potensielt også kompromittere sårbare systemer.

Tilsynelatende er det 6.x-utgavene av Domino som er hardest berørt. Disse vedlikeholdes ikke lenger, så løsningen for kundene er å oppdatere til Domino 7.0.3 Fix Pack 1 (FP1) eller 8.0.1, hvor problemene skal være fjernet. Sårbarhetene er dog knyttet til webserver-komponenten i Domino, så deaktivering av denne kan være en mulig løsning.

Den ene sårbarheten Lotus Domino Web Server kan utnyttes til å forårsake en altfor lang "Acccept-Language"-header. Vellykket utnyttelse åpner for kjøring av vilkårlig kode på systemet.

Den andre sårbarheten dreier seg om ikke-spesifiserte inndata til servlet-motoren/Web-containeren som ikke er blitt skikkelig renset før bruk. Dette kan utnyttes til å levere vilkårlig HTML- og skriptkode i en brukers nettleser i konteksten til et berørt nettsted.

Mer informasjon finnes her.

Til toppen