Boletines de Vulnerabilidades

int(2189)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en IBM Lotus Domino iNotes Client
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Integridad
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio exotico
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	Comercial Software
Software afectado	IBM Lotus Domino 6.x < 6.5.5 IBM Lotus Domino 7.x < 7.0.1
Descripción
Se han descubierto múltiples vulnerabilidades en Lotus Domino iNotes Client. Las vulnerabilidades son descritas a continuación: 1- La vulnerabilidad reside en que los ficheros adjuntos se abren en el contexto del sitio Web si el usuario hace clic en ellos. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 2- La vulnerabilidad reside en que el "Asunto" de un email no es debidamente validado antes de ser mostrado al usuario. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 3- La vulnerabilidad reside en que no se validan correctamente las URL del tipo "javascript:" que contengan " ". Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. 4- La vulnerabilidad reside en que el nombre de fichero adjunto de un email no es debidamente validado antes de ser mostrado al usuario. Un atacante remoto podría ejecutar código JavaScript arbitrario en el contexto de la sesión de usuario. Es necesario que el control ActiveX Domino Web Access no se encuentre instalado en el navegador del usuario.
Solución
Actualización de software IBM Domino 6.x / Domino 6.5.5 Domino 7.x / Domino 7.0.1 http://www.ibm.com/software/lotus/support/upgradecentral/index.html
Identificadores estándar
Propiedad	Valor
CVE
BID
Recursos adicionales
IBM Lotus Security Advisory (1229919) http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21229919 Secunia Advisory (SA16340) http://secunia.com/advisories/16340/