U radu programskog paketa IBM Lotus iNotes uočen je sigurnosni nedostatak. Riječ je o popularnom i pouzdanom paketu koji IBM Lotus Notes korisnicima omogućuje pristup mejlovima, kontaktima i kalendaru pomoću web preglednika. Problem je posljedica pogrešaka vezanih uz rad modula dwa85W.dll, a napadačima omogućuje pokretanje proizvoljnog programskog koda. Svim se korisnicima preporuča nadogradnja.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-06-032
Naslov: Uocena ranjivost vezana uz IBM Lotus iNotes 
Datum: 2012-06-12
OS: Linux, Mac OS, Windows
Programski paket: IBM Lotus iNotes 
Tip sigurnosnog problema: pokretanje proizvoljnog koda
Rizik: Velik
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa IBM Lotus iNotes, odnosno u radu IBM Lotus iNotes Upload Module ActiveX kontrole, uocen je sigurnosni propust.

IBM Lotus iNotes predstavlja web inacicu IBM Lotus Notes klijenta. Ranije je bio poznat pod nazivom IBM Lotus Domino Web Access, a omogucuje IBM Lotus Notes korisnicima pristup mejlovima, kontaktima i kalendaru pomocu web preglednika.

Vise informacija dostupno je na sljedecoj web adresi:

http://www-01.ibm.com/software/lotus/products/inotes/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivost uocena u radu programskog paketa IBM Lotus iNotes napadacima omogucuje kompromitaciju korisnickog sustavu pokretanjem zlonamjernog programskog koda.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca koristenje zakrpe Interim Fix 1 za Lotus iNotes 8.5.3 Fix Pack 1.

-------------------------------------------------------------------------------

[4]  Analiza

Ranjivost uocena u radu programskog paketa IBM Lotus iNotes posljedica je pogresaka u modulu dwa85W.dll. To nadalje moze omoguciti prepisivanje spremnika dodjeljivanjem pretjerano dugog niza podataka "Attachment_Times" znacajci.

Uspjesna zloupotreba omogucuje izvrsavanje proizvoljnog programskog koda.

Ranjivost je potvrdjena u inacici 8.5.x. Starije inacice takodjer mogu sadrzavati istu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrilo je proizvodjac.

Tekst izvorne preporuke nalazi se na sljedecoj adresi:
IBM:
http://www.ibm.com/support/docview.wss?uid=swg21596862

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________