Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Vulnerabilidades / Ejecución remota de código en IBM Lotus Domino 6.x, 7.x y 8.x

Ejecución remota de código en IBM Lotus Domino 6.x, 7.x y 8.x

Por Deja un comentario

Se han corregido dos vulnerabilidades en IBM Lotus Domino (versiones 6, 7 y 8) que podrían permitir a un atacante remoto ejecutar código arbitrario.

* Se ha corregido un fallo cuando se procesan cabeceras de peticiones HTTP con el campo ‘Accept-Language’ excesivamente grande que podrían ocasionar un desbordamiento de la memoria intermedia basada en pila. Un atacante remoto podría ejecutar código arbitrario a través de peticiones HTTP especialmente manipuladas.

* Se ha corregido un fallo en el motor de servlets y contenedor de aplicaciones web al procesar entradas de datos no especificadas que no son correctamente filtradas. Un atacante remoto podría ejecutar código HTML y script arbitrarios en el contexto de la sesión del navegador de un usuario.

Se recomienda actualizar a las versiones 7.0.3 Fix Pack 1 (FP1) o 8.0.1. desde:
http://www.ibm.com/software/lotus/support/upgradecentral/index.html

Laboratorio Hispasec
laboratorio @hispasec.com

Más información:

Lotus Domino Web server ‘Accept-Language’ stack overflow
http://www-1.ibm.com/support/docview.wss?uid=swg21303057

Potential vulnerability in servlet engine/Web container in Lotus Domino Web servers
http://www-1.ibm.com/support/docview.wss?uid=swg21303296

IBM Lotus Domino “Accept-Language” Stack Overflow
http://www.mwrinfosecurity.com/publications/mwri_ibm-lotus-domino-accept-language-stack-overflow_2008-05-20.pdf

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.