DFN-CERT-2017-1321 IBM iNotes: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Unix][AIX][Windows][Netzwerk]

DFN-CERT-2017-1321 IBM iNotes: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Unix][AIX][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM iNotes < 8.5.3 Fix Pack 6 Interim Fix 5 IBM iNotes < 9.0.1 Feature Pack 8 Interim Fix 3 Betroffene Plattformen: GNU/Linux IBM AIX Microsoft Windows Ein entfernter, einfach authentisierter Angreifer kann beliebigen JavaScript-Programmcode in die Weboberfläche von IBM iNotes injizieren und dadurch einen Cross-Site-Scripting-Angriff auf andere Benutzer durchführen. Der Angreifer kann dadurch möglicherweise Zugangsdaten des Benutzers ausspähen. IBM bestätigt die Schwachstelle in IBM iNotes 8.5, 8.5.1, 8.5.2 und 8.5.3 vor Version 8.5.3 Fix Pack 6 Interim Fix 5 sowie IBM 9.0 und 9.0.1 vor Version 9.0.1 Feature Pack 8 Interim Fix 3 und stellt die genannten Versionen als Sicherheitsupdates bereit. Anwender, die die Versionszweige 8.5.x und 9.0.x weiterverwenden möchten oder müssen können sich an den IBM Support wenden, um die Möglichkeit eines Hotfixes für solche Umgebungen zu diskutieren. Patch: IBM Security Bulletin 2005233 https://www-01.ibm.com/support/docview.wss?uid=swg22005233

CVE-2017-1332: Schwachstelle in IBM iNotes ermöglicht
Cross-Site-Scripting-Angriff

Die Weboberfläche von IBM iNotes ist an nicht näher spezifizierter Stelle
für einen Cross-Site-Scripting-Angriff anfällig.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1321/

IBM Security Bulletin 2005233:
https://www-01.ibm.com/support/docview.wss?uid=swg22005233

IBM PSIRT Blog: Fix Available for IBM iNotes Cross-site Scripting
Vulnerability (CVE-2017-1332):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-fix-available-for-ibm-inotes-cross-site-scripting-vulnerability-cve-2017-1332/

Schwachstelle CVE-2017-1332 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1332

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben