三个软件安全漏洞可以让攻击者在运行IBM的Lotus Domino 或iNotes软件的机器上运行恶意代码。
这些漏洞是在星期一由英国萨顿的一家软件咨询公司Next Generation Security Software发布的三份备忘录上透露的。
利用Lotus iNotes 消息软件的漏洞,远程攻击者可以通过为基于Web的mail服务的请求中提供超长值来控制Domino服务器。
NGSS透露,这个超长值会造成服务器的缓冲溢出,致使攻击者可以通过Domino服务器的特殊运行账号来运行他们自己的软件代码,NGSS已经把这个弱点列为"严重威胁"
第二个漏洞,同样被列为"严重威胁",使Lotus Domino 6服务器应用软件受到影响。利用这个弱点,攻击者可以通过向Lotus数据库获取文件或数据模式时提供错误的和超长的主机名来造成缓冲溢出。
在触发溢出后,攻击者可以通过Domino Web 服务程序的运行账号来执行他们自己的代码,从而控制Domino服务器。
第三个漏洞是iNotes软件所用ActiveX客户控制中,致使攻击者可以在试图使用Lotus iNotes 消息软件功能部件的远程机器上执行恶意代码。一个攻击者可以通过E-MAIL或者网页发送一个超过Active X控制的长值,在目标机器上造成缓冲溢出,使攻击者可以通过当前用户的特殊账号来执行代码。
修补漏洞
这三个在6.0版本的Lotus Notes 和Domino 发现的漏洞已经被IBM在6.0.1的版本中修补。虽然它没有提到NGSS漏洞,发布在IBM网站的消息说6.0.1版本"包括增强Notes and Domino 6产品的性能和可靠性的补丁",并且推荐没有修补漏洞的用户去升级到6.0.1版本。
更多内容请看PCdog.com--Sniffer安全技术 漏洞/补丁 路由安全配置专题
