VulDB: IBM Lotus Domino Web Server Cross-Site Scripting
Allgemein
scipID: 3433
Betroffen: IBM Lotus Domino Web Server 7.x
Veröffentlicht: 02.11.2007 (JPCERT/CC)
Risiko: 
problematisch
Beschreibung
Lotus Notes ist ein dokumentenorientiertes, verteiltes Datenbanksystem mit sehr enger E-Mail-Anbindung. Es wurde ab 1984 von Iris Associates entwickelt, einer späteren Tochterfirma der Lotus Development Corporation respektive von IBM. Lotus Notes gehört in die Kategorie Groupware und wird von ca. 128 Mio. Anwendern (Stand 2006, Angaben von IBM Lotusphere 01/2006) weltweit genutzt. Nach Informationen der japanischen Researchgruppe JPCERT/CC besteht in den Versionen 6 und 7 jeweils ein unspezifizierter Fehler, der es einem Angreifer erlaubt beliebigen Scriptcode im Kontext der Applikation zur Ausführung bringen kann. Dadurch eröffnen sich einem Angreifer die Möglichkeiten konkreter webbasierter Angriffsmethoden wie Cross-Site-Scripting oder Cross-Site-Request Forgery.
IBM scheint in Sachen Eingabevalidierung nicht gerade übermässig einsichtig, reiht sich diese Schwachstelle doch nahtlos in eine ganze Serie von Schwächen dieser Art in IBM Produkten ein. Dennoch muss hervorgehoben werden, dass man sich in diesem Fall zumindest insofern kompromissbereit zeigt und einen Patch zur Bereinigung bereitstellt. Diesen gilt es baldmöglichst einzuspielen, um die Schwachstelle zu schliessen.
Exploiting
Klasse: Cross Site Scripting
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://www-1.ibm.com/support/docview.wss?uid=swg27010980
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www-1.ibm.com/support/docview.wss?uid=swg21263871
Snort: –
Pattern: –
Quellen
Advisory: http://jvn.jp/jp/JVN%2384565055/index.html
CVE: CVE-2007-5924
OSVDB: 39720
Securityfocus: –
Secunia: 27509
X-Force: –
Securitytracker: –
VUPEN: ADV-2007-3700
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Buchtipp: Dr. Robert L. Ziegler (2002), Linux-Firewalls – Konzeption und Implementierung für Netzwerke und PCs, Markt+Technik, ISBN 3827262577 (amazon.de)
