DFN-CERT-2017-2235 IBM iNotes: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Unix][AIX][Windows][Netzwerk]

DFN-CERT-2017-2235 IBM iNotes: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Linux][Unix][AIX][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM iNotes 8.5
IBM iNotes >= 8.5.1
IBM iNotes <= 8.5.1.5 IBM iNotes >= 8.5.2
IBM iNotes <= 8.5.2.4 IBM iNotes >= 8.5.3
IBM iNotes <= 8.5.3.6 IBM iNotes 9.0 IBM iNotes >= 9.0.1
IBM iNotes < 9.0.1 Feature Pack 9 Betroffene Plattformen: GNU/Linux IBM AIX Microsoft Windows Eine Schwachstelle in IBM iNotes ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs und infolgedessen unter anderem das Ausspähen von Zugangsdaten von Benutzern aktiver Sitzungen. IBM stellt fest, dass IBM iNotes in den Versionen 8.5, 8.5.1, 8.5.2 und 8.5.3 sowie 9.0 und 9.0.1 vor Version 9.0.1 Feature Pack 9 von der Schwachstelle betroffen sind. Anwender, die frühere 8.5.x und 9.0.x Versionen weiterverwenden möchten und daher die verfügbaren Sicherheitsupdates nicht nutzen können, sollten sich an den IBM Support wenden, um die Möglichkeit eines Hotfixes für ihre Umgebungen zu diskutieren. Patch: IBM Security Bulletin 2005234 https://www-01.ibm.com/support/docview.wss?uid=swg22005234

CVE-2017-1421: Schwachstelle in IBM iNotes ermöglicht
Cross-Site-Scripting-Angriff

In der Web-Benutzeroberfläche von IBM iNotes existiert eine
Cross-Site-Scripting (XSS)-Schwachstelle. Diese ermöglicht einem Angreifer
beliebigen JavaScript-Code in die Benutzeroberfläche (Web UI) einzubetten
und dadurch die beabsichtigte Funktionalität zu verändern, wodurch
möglicherweise Zugangsdaten aus vermeintlich vertrauenswürdigen aktiven
Sitzungen offengelegt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2235/

IBM Security Bulletin 2005234:
https://www-01.ibm.com/support/docview.wss?uid=swg22005234

IBM PSIRT Blog: Fix Available for IBM iNotes Cross-site Scripting
Vulnerability (CVE-2017-1421):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-fix-available-for-ibm-inotes-cross-site-scripting-vulnerability-cve-2017-1421/

Schwachstelle CVE-2017-1421 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1421

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben