跳至主內容

IBM Lotus Domino HTTP 回應分割及跨網站指令碼漏洞

最後更新 2012年08月21日 13:26 發佈日期: 2012年08月21日 2103 觀看次數

風險: 高度風險

類型: 伺服器 - 其他伺服器

類型: 其他伺服器

在IBM Lotus Domino發現多個漏洞,惡意使用者可利用漏洞,導致 HTTP 回應分割及跨網站指令碼攻擊。

  1. 某些不明的資料未經正確地過濾更傳回給使用者。惡意使用者可利用漏洞,透過插入任意HTTP標頭,並會包括在傳給使用者的回應中,在使用者瀏覽器會話與受影響網站連接時,執行任意的 HTTP 指令碼。
  2. 某些關於 help及webmail秩的不明資料未經正確地過濾更傳回給使用者。惡意使用者可利用漏洞,在使用者瀏覽器會話與受影響網站連接時,執行任意的 HTML及 指令碼。

注意: 軟件供應商暫未提供修補程式。


影響

  • 跨網站指令碼
  • 資料洩露
  • 篡改

受影響之系統或技術

  • IBM Lotus Domino 8.x

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 更新至版本8.5.4 (預計在2013年2月發布)
  • 臨時處理方法:
    在 Domino 伺服器版本 7.0 及以後版本的 NOTES.INI,設定以下參數:
    DominoValidateFramesetSRC=1

漏洞識別碼


資料來源


相關連結