IBM ha publicado actualizaciones destinadas a solucionar cinco vulnerabilidades en IBM Notes 8.5.x y 9.0.x, todas podrían permitir la ejecución de código arbitrario.
El primer problema, con CVE-2014-9766, reside en vulnerabilidades en la librería Pixman empleada en IBM Expeditor 6.2.3 (el navegador incrustado usa Pixman 0.13.3) y en IBM Expeditor 9.0.1 (el navegador incrustado usa Pixman 0.21.7). La librería Pixman se ve afectada por un desbordamiento de entero en la «función create_bits()» que podría permitir a un atacante remoto la ejecución de código arbitrario. Se recomienda actualizar la libería Pixman a las versiones: 0.26.0-4+deb7u2, 0.32.6-3, o 0.33.6-1.
Se han publicado las actualizaciones:
IBM Notes 9.0.1 Fix Pack 6
IBM Notes 8.5.3 Fix Pack 6 Interim Fix 11
Por otra parte, también existen cuatrovulnerabilidades de desbordamiento de búfer debido a un tratamiento inadecuado de documentos PDF en el filtro KeyView PDF. Un atacante podría conseguir ejecutar código arbitrario a través de un pdf específicamente creado (CVE-2016-0277, CVE-2016-0278, CVE-2016-0279 y CVE-2016-0301).
IBM ha publicado las siguientes actualizaciones:
IBM Notes 9.0.1 FP6
IBM Notes 8.5.3 FP6 IF10
IBM Notes MUI Upgrade Packs 9.0.1 FP6
http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FLotus%2FLotus+Notes&fixids=NOTES_901FP6_KEYVIEW_MUI_UPDATE_1022
IBM Notes MUI Upgrade Packs 8.5.3 FP6 IF10
http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FLotus%2FLotus+Notes&fixids=NOTES_853FP6_KEYVIEW_MUI_UPDATE_1022
Más información:
Security Bulletin: Vulnerabilities in IBM Notes KeyView PDF Filters (CVE-2016-0301, CVE-2016-0278, CVE-2016-0279, CVE-2016-0277)
Security Bulletin: IBM Notes is affected with Pixman library information disclosure (CVE-2014-9766)
Antonio Ropero
Twitter: @aropero
Deja un comentario