IBMs Lotus Domino lässt sich Code unterschieben
Sicherheitslücken im Web-Access-Modul von IBMs Lotus Domino ermöglichen Angreifern, Schadcode einzuschleusen. Zudem ist das Modul für Cross-Site-Scripting-Angriffe anfällig.
Einer Sicherheitsmeldung von MWR InfoSecurity zufolge enthält die Web-Access-Komponente von IBMs Lotus Domino mehrere Sicherheitslücken, durch die Angreifer dem Server Schadcode unterjubeln oder mittels Cross-Site-Scripting etwa Daten ausspähen können. IBM stellt aktualisierte Software-Versionen bereit, die die Lücken schließen sollen.
Beim Verarbeiten überlanger Werte im HTTP-Header für den Parameter "Accept-Language" kann ein stackbasierter Pufferüberlauf auftreten. Durch den Pufferüberlauf kann fremder Code eingeschleust und ausgeführt werden, der Sicherheitsmeldung von MWR InfoSecurity zufolge auf den meisten Installationen sogar mit SYSTEM-Rechten. Laut IBMs Fehlerbericht benötigt ein Angreifer nicht einmal gültige Anmeldedaten, sondern muss den Server nur erreichen können.
Die sogenannte Servlet-Engine beziehungsweise der Web Container überprüft Benutzereingaben nicht korrekt, sodass ein Cross-Site-Scripting-Angriff möglich ist. Dabei läuft etwa eingeschleuster JavaScript-Code mit den Rechten der Web-Access-Domäne. Dies können Angreifer unter anderem zum Ausspähen von Informationen missbrauchen.
IBM hat die Fehler in Lotus Domino 7.0.3 und 8.0 bestätigt. Version 6 ist möglicherweise ebenfalls betroffen. Updates auf die Versionen 7.0.3 Fix Pack 1 (FP1) und 8.0.1 sollen die Lücken schließen. Administratoren, die ihren Anwendern die Web-Access-Schnittstelle bereitstellen, sollten unverzüglich die angebotenen Updates einspielen.
Siehe dazu auch:
- IBM Lotus Domino “Accept-Language” Stack Overflow (PDF), Sicherheitsmeldung von MWR InfoSecurity
- Lotus Domino Web server 'Accept-Language' stack overflow, Fehlerbericht von IBM
- Potential vulnerability in servlet engine/Web container in Lotus Domino Web servers, Fehlermeldung von IBM
(dmk)