DFN-CERT-2015-0675 IBM Notes, Domino: Mehrere Schwachstellen ermöglichen die Übernahme der Systemkontrolle [Linux][Unix][AIX][Windows]

DFN-CERT-2015-0675 IBM Notes, Domino: Mehrere Schwachstellen ermöglichen die Übernahme der Systemkontrolle [Linux][Unix][AIX][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM Domino >= 8.5
IBM Domino <= 8.5.3.6 IBM Domino >= 9.0
IBM Domino <= 9.0.1.3 IBM Notes <= 8.5.3.6 IBM Notes <= 9.0.1.3 Betroffene Plattformen: GNU/Linux IBM AIX Microsoft Windows Mehrere Schwachstellen erlauben einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff oder Cross-Site-Scripting-Angriff durchzuführen oder beliebigen Programmcode zur Ausführung zu bringen und damit das System zu kompromittieren. Zur Behebung der Schwachstellen stehen die folgenden Sicherheitsupdates bereit: - Domino 9.0.1 Fix Pack 3 Interim Fix 3 und Domino 8.5.3 Fix Pack 6 Interim Fix 7 - Notes 9.0.1 Fix Pack 3 Interim Fix 4 und Notes 8.5.3 Fix Pack 6 Interim Fix 6 Workaround: IBM Notes, iNotes und Domino verwenden die Dateien dojox/form/resources/upload.swf, dojox/form/resources/fileupload.swf, dojox/av/resources/audio.swf und dojox/av/resources/video.swf nicht. Deshalb können als Workaround für die Schwachstelle CVE-2014-8917 diese Dateien gelöscht werden. Patch: IBM Security Bulletin swg21883245 http://www-01.ibm.com/support/docview.wss?uid=swg21883245

CVE-2015-1903: Schwachstelle in IBM Domino ermöglicht das Ausführen
beliebigen Programmcodes

Eine Schwachstelle in der Verarbeitung von BMP Bild-Dateien führt durch eine
fehlerhafte Überprüfung von Grenzen (improper bounds check) zu einem
Stack-Überlauf. Es handelt sich um eine andere Schwachstelle als bei
CVE-2015-1902. Ein entfernter, nicht authentifizierter Angreifer kann durch
eine präparierte Bild-Datei einen Denial-of-Service-Angriff durchführen oder
beliebigen Programmcode ausführen.

CVE-2015-1902: Schwachstelle in IBM Domino ermöglicht das Ausführen
beliebigen Programmcodes

Eine Schwachstelle in der Verarbeitung von BMP Bild-Dateien führt durch eine
fehlerhafte Überprüfung von Grenzen (improper bounds check) zu einem
Stack-Überlauf. Es handelt sich um eine andere Schwachstelle als bei
CVE-2015-1903. Ein entfernter, nicht authentifizierter Angreifer kann durch
eine präparierte Bild-Datei einen Denial-of-Service-Angriff durchführen oder
beliebigen Programmcode ausführen.

CVE-2014-8917: Schwachstelle in IBM Dojo Toolkit ermöglicht
Cross-Site-Scripting-Angriff

Eine Schwachstelle in verschiedenen Dateien (1)
dojox/form/resources/uploader.swf (aka upload.swf), (2)
dojox/form/resources/fileuploader.swf (aka fileupload.swf), (3)
dojox/av/resources/audio.swf und (4) dojox/av/resources/video.swf führt zu
der fehlerhaften Überprüfung von Benutzereingaben. Dadurch ist es möglich
beliebigen Web- oder HTML-Code in eine Webseite einzufügen. Ein entfernter,
nicht authentifizierter Angreifer kann einen Cross-Site-Scripting-Angriff
durchführen und Cookie-basierte Anmeldeinformationen stehlen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0675/

Schwachstelle CVE-2014-8917 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8917

IBM Security Bulletin swg21883245:
http://www-01.ibm.com/support/docview.wss?uid=swg21883245

Schwachstelle CVE-2015-1902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1902

Schwachstelle CVE-2015-1903 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1903

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben