IBM Lotus Notes 8.5.1 / 8.5.2 / 8.5.3 < 8.5.3 FP3 多個弱點
high Nessus Plugin ID 63281
語系:
概要
遠端主機具有受到多個弱點影響的軟體。說明
遠端主機上安裝的 Lotus Notes 版本為 8.5.1、8.5.2,或比 8.5.3 Fix Pack 3 舊的 8.5.3.x。因此,據報會受到下列弱點影響:- IBM Java SDK 的包含版本含有某一版本的 IBM JRE,其中包含數個錯誤,可讓 Java 程式碼在 Java sandbox 之外執行。(CVE-2012-4820、CVE-2012-4821、CVE-2012-4822、CVE-2012-4823)
- 可能發生資訊洩漏,這是因為應用程式未在 'Set-Cookie' HTTP 標頭中設定 'HttpOnly' 旗標所導致。這可允許用戶端指令碼讀取或修改 HTTP cookie 資訊。
(CVE-2012-4846)
請注意,單獨套用 Java 修補程式 (參照 #1616652) 並無法更正 'HttpOnly' 資訊洩漏弱點。
另請注意,在 8.5.3 版 Fix Pack 2 中,若已套用 Java 修補程式 (參照 #1616652) 與過渡期修正 (853FP2IF3),則這可能是誤判。
解決方案
升級至 Lotus Notes 8.5.3 Fix Pack 3 或更新版本。或者,如果正在使用 8.5.3 版 Fix Pack 2,請安裝 Java 修補程式 (參照 #1616652) 與過渡期修正 853FP2IF3。另請參閱
http://www-01.ibm.com/support/docview.wss?uid=swg21616652
http://www.nessus.org/u?e0805b61
Plugin 詳細資訊
嚴重性: High
ID: 63281
檔案名稱: lotus_notes_8_5_3_fp3.nasl
版本: 1.7
類型: local
代理程式: windows
系列: Windows
已發布: 2012/12/17
已更新: 2018/7/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9.3
時間分數: 6.9
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: cpe:/a:ibm:lotus_notes
必要的 KB 項目: SMB/Lotus_Notes/Installed
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2012/11/26
弱點發布日期: 2012/9/11
參考資訊
CVE: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823, CVE-2012-4846