IBM Lotus Notes 8.5.1 / 8.5.2 / 8.5.3 < 8.5.3 FP3 多個弱點

high Nessus Plugin ID 63281
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端主機具有受到多個弱點影響的軟體。

描述

遠端主機上安裝的 Lotus Notes 版本為 8.5.1、8.5.2,或比 8.5.3 Fix Pack 3 舊的 8.5.3.x。因此,據報會受到下列弱點影響:

- IBM Java SDK 的包含版本含有某一版本的 IBM JRE,其中包含數個錯誤,可讓 Java 程式碼在 Java sandbox 之外執行。(CVE-2012-4820、CVE-2012-4821、CVE-2012-4822、CVE-2012-4823)

- 可能發生資訊洩漏,這是因為應用程式未在 'Set-Cookie' HTTP 標頭中設定 'HttpOnly' 旗標所導致。這可允許用戶端指令碼讀取或修改 HTTP cookie 資訊。
(CVE-2012-4846)

請注意,單獨套用 Java 修補程式 (參照 #1616652) 並無法更正 'HttpOnly' 資訊洩漏弱點。

另請注意,在 8.5.3 版 Fix Pack 2 中,若已套用 Java 修補程式 (參照 #1616652) 與過渡期修正 (853FP2IF3),則這可能是誤判。

解決方案

升級至 Lotus Notes 8.5.3 Fix Pack 3 或更新版本。或者,如果正在使用 8.5.3 版 Fix Pack 2,請安裝 Java 修補程式 (參照 #1616652) 與過渡期修正 853FP2IF3。

另請參閱

http://www.nessus.org/u?e0805b61

http://www-01.ibm.com/support/docview.wss?uid=swg21620361

http://www-01.ibm.com/support/docview.wss?uid=swg21616652

http://www-01.ibm.com/support/docview.wss?uid=swg21617185

Plugin 詳細資訊

嚴重性: High

ID: 63281

檔案名稱: lotus_notes_8_5_3_fp3.nasl

版本: 1.7

類型: local

代理程式: windows

系列: Windows

已發布: 2012/12/17

已更新: 2018/7/14

相依性: lotus_notes_installed.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: AV:N/AC:M/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:ibm:lotus_notes

必要的 KB 項目: SMB/Lotus_Notes/Installed

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2012/11/26

弱點發布日期: 2012/9/11

參考資訊

CVE: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823, CVE-2012-4846

BID: 55495, 56944