Schwachstellen in Domino und Notes entdeckt
Fehler könnten den stabilen Betrieb der Anwendungen gefährden.
11. April 2005
IBM selber hat einige Schwächen seiner Groupware-Lösungen Lotus Domino und Lotus Notes bekanntgegeben. Dadurch sei es Angreifern eventuell möglich, die Anwendungen zum Absturz zu bringen.
Bei Lotus Domino ist es demgemäss möglich, mit manipulierten Zeit- oder Datumsfeldern einen Buffer Overflow zu erzeugen. Ein Absturz ist auch durch einen fehlerhaften Format-String im NRPC-Protokoll möglich. In Lotus Notes kann ein Buffer Overflow durch spezielle INI-Dateien erzeugt werden. Durch all diese Schwachpunkte sind allerdings nur Abstürze möglich – wie IBM erklärt, hätte man keine Möglichkeiten gefunden, durch die Lecks Code in ein System zu bringen und auszuführen.
Anders sieht es bei einem Fehler in der Funktion @SetHTTPHeader von Domino aus, über die sehr wohl Code in ein System eingeschleust werden könnte. Allerdings können nur Entwickler auf die Funktion zugreifen, die darüber hinaus besondere Zugriffsrechte erfordert.
IBM hat auf die Schwachstellen bereits reagiert und Updates für die Anwendungen veröffentlicht, in denen die Patches enthalten sind.
Bei Lotus Domino ist es demgemäss möglich, mit manipulierten Zeit- oder Datumsfeldern einen Buffer Overflow zu erzeugen. Ein Absturz ist auch durch einen fehlerhaften Format-String im NRPC-Protokoll möglich. In Lotus Notes kann ein Buffer Overflow durch spezielle INI-Dateien erzeugt werden. Durch all diese Schwachpunkte sind allerdings nur Abstürze möglich – wie IBM erklärt, hätte man keine Möglichkeiten gefunden, durch die Lecks Code in ein System zu bringen und auszuführen.
Anders sieht es bei einem Fehler in der Funktion @SetHTTPHeader von Domino aus, über die sehr wohl Code in ein System eingeschleust werden könnte. Allerdings können nur Entwickler auf die Funktion zugreifen, die darüber hinaus besondere Zugriffsrechte erfordert.
IBM hat auf die Schwachstellen bereits reagiert und Updates für die Anwendungen veröffentlicht, in denen die Patches enthalten sind.
Artikel kommentieren
