CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

12/05/2015

IBM soluciona vulnerabilitats en Notes, iNotes i Domino

Segons ens informen des de Hispasec, IBM ha publicat una actualització destinada a solucionar tres vulnerabilitats, dos d’elles molt greus.

Risc: Alt

El primer dels problemes, amb CVE-2014-8917, residix en un cross-site scripting en IBM Dojo Toolkit de Notes, iNotes i Domino. Un atacant podria explotar la vulnerabilitat per mitjà de les URL específicament creades, la qual cosa li permetria accedir a informació sensible basada en el navegador com a cookies d’autenticació i les dades presentades recentment.

D’altra banda també hi ha dos vulnerabilitats de desbordament de búfer (amb CVE-2015-1902 i CVE-2015-1903) a causa d’un tractament inadequat d’imatges BMP. Un atacant podria aconseguir executar codi arbitrari per mitjà de l’enviament d’una imatge específicament creada.

Sistemes Afectats:

Es veuen afectades les versions IBM Notes i Domino 9.0.1 Fix Pack 3 (i anteriors), IBM Notes i Domino 8.5.3 Fix Pack 6 (i anteriors).

Referències:

CVE-2014-8917, CVE-2015-1902, CVE-2015-1903

Solució:

IBM ha publicat les actualitzacions següents:  

Notes y Domino 9.0.1 Fix Pack 3 Interim Fixes
http://www.ibm.com/support/docview.wss?uid=swg21657963
Notes y Domino 8.5.3 Fix Pack 6 Interim Fixes

http://www.ibm.com/support/docview.wss?uid=swg21687167

Notes:
Security Bulletin: Multiple Vulnerabilities in IBM Notes, iNotes and Domino (CVE-2014-0897, CVE-2015-1902, CVE-2015-1903)

http://www-01.ibm.com/support/docview.wss?uid=swg21883245&myns=swglotus&mynp=OCSSKTMJ&mync=E&cm_sp=swglotus-_-OCSSKTMJ-_-E

Font: Hispasec una-al-dia

CSIRT-CV