IBM ha publicado actualizaciones destinadas a solucionar cinco
vulnerabilidades en IBM Notes 8.5.x y 9.0.x, todas podrían permitir la
ejecución de código arbitrario.
Detalle de las vulnerabilidades
El primer problema, con CVE-2014-9766, reside en vulnerabilidades en la librería Pixman empleada en IBM Expeditor 6.2.3 (el navegador incrustado usa Pixman 0.13.3) y en IBM Expeditor 9.0.1 (el navegador incrustado usa Pixman 0.21.7). La librería Pixman se ve afectada por un desbordamiento de entero en la "función create_bits()" que podría permitir a un atacante remoto la ejecución de código arbitrario. Se recomienda actualizar la libería Pixman a las versiones: 0.26.0-4+deb7u2, 0.32.6-3, o 0.33.6-1.
Se han publicado las actualizaciones:
- IBM
Notes 9.0.1 Fix Pack 6 http://www.ibm.com/support/docview.wss?uid=swg24037141
- IBM
Notes 8.5.3 Fix Pack 6 Interim Fix 11 http://www.ibm.com/support/docview.wss?uid=swg21663874#NotesDownloads
Por otra parte, también existen cuatrovulnerabilidades de desbordamiento de búfer debido a un tratamiento inadecuado de documentos PDF en el filtro KeyView PDF. Un atacante podría conseguir ejecutar código arbitrario a través de un pdf específicamente creado (CVE-2016-0277, CVE-2016-0278, CVE-2016-0279 y CVE-2016-0301).
IBM ha publicado las siguientes actualizaciones:
·
IBM
Notes 9.0.1 FP6 http://www-01.ibm.com/support/docview.wss?uid=swg24037141
·
IBM
Notes 8.5.3 FP6 IF10 http://www-01.ibm.com/support/docview.wss?uid=swg21663874
·
IBM
Notes MUI Upgrade Packs 9.0.1 FP6 http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FLotus%2FLotus+Notes&fixids=NOTES_901FP6_KEYVIEW_MUI_UPDATE_1022
·
IBM
Notes MUI Upgrade Packs 8.5.3 FP6 IF10 http://www.ibm.com/support/fixcentral/quickorder?product=ibm%2FLotus%2FLotus+Notes&fixids=NOTES_853FP6_KEYVIEW_MUI_UPDATE_1022
Más información:
·
Security
Bulletin: Vulnerabilities in IBM Notes KeyView PDF Filters (CVE-2016-0301,
CVE-2016-0278, CVE-2016-0279, CVE-2016-0277) http://www-01.ibm.com/support/docview.wss?uid=swg21982277
·
Security
Bulletin: IBM Notes is affected with Pixman library information disclosure
(CVE-2014-9766) http://www-01.ibm.com/support/docview.wss?uid=swg21984075
Fuente: Hispasec