IBM ha publicado una actualización destinada a solucionar tres vulnerabilidades, dos de ellas muy graves, en IBM Notes, iNotes y Domino 8.5.x y 9.0.x.
Recursos afectados
- Se ven afectadas las versiones IBM Notes y Domino 9.0.1 Fix Pack 3 (y anteriores), IBM Notes y Domino 8.5.3 Fix Pack 6 (y anteriores).
·
El primero de los problemas, con CVE-2014-8917,
reside en un cross-site scripting en IBM Dojo Toolkit de Notes, iNotes y
Domino. Un atacante podría explotar la vulnerabilidad mediante URLs
específicamente creadas, lo que le permitiría acceder a información sensible
basada en el navegador como cookies de autenticación y los datos presentados
recientemente.
·
Por otra parte también existen dos
vulnerabilidades de desbordamiento de búfer (con CVE-2015-1902 y CVE-2015-1903)
debido a un tratamiento inadecuado de imágenes BMP. Un atacante podría
conseguir ejecutar código arbitrario mediante el envío de una imagen
específicamente creada.
Recomendación
IBM ha publicado las
siguientes actualizaciones:
·
Notes y Domino 9.0.1 Fix Pack 3 Interim Fixes http://www.ibm.com/support/docview.wss?uid=swg21657963
·
Notes y Domino 8.5.3 Fix Pack 6 Interim Fixes http://www.ibm.com/support/docview.wss?uid=swg21687167
Más información:
- Security Bulletin: Multiple Vulnerabilities
in IBM Notes, iNotes and Domino (CVE-2014-0897, CVE-2015-1902,
CVE-2015-1903) http://www-01.ibm.com/support/docview.wss?uid=swg21883245&myns=swglotus&mynp=OCSSKTMJ&mync=E&cm_sp=swglotus-_-OCSSKTMJ-_-E