发布日期:2008-05-20
更新日期:2008-05-22
受影响系统:
IBM Lotus Domino 8.0
IBM Lotus Domino 7.0
IBM Lotus Domino 6.5
IBM Lotus Domino 6.0
IBM Lotus Domino
描述:
----------------------------------------------------------------------------
BUGTRAQ ID: 29310
CVE(CAN) ID: CVE-2008-2240
Lotus Domino是集电子邮件、文档数据库、快速应用开发技术以及Web技术为一体的电子邮件与群集平台。
Lotus Domino Web服务器中负责处理HTTP头的代码存在栈溢出漏洞,Accept Language字段是直接从请求的HTTP头中获得的,然后使用strcpy函数拷贝到了固定长度的栈缓冲区中,因此远程攻击者可以通过包含有GET方式的HTTP 1.1请求覆盖栈缓冲区,导致执行任意指令。
<*来源:M. Ruks
链接:http://secunia.com/advisories/30310/
http://www-1.ibm.com/support/docview.wss?uid=swg21303057
http://www.mwrinfosecurity.com/publications/mwri_ibm-lotus-domino-accept-
language-stack-overflow_2008-05-20.pdf
http://secunia.com/advisories/30332/
*>
建议:
----------------------------------------------------------------------------
厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
您的位置: