Security Alert für Lotus Domino [Update]

01/01/2004

26.3.03 Aktuelle Übersicht über die bereits unten aufgeführten Probleme
CERT^® Advisory CA-2003-11 Multiple Vulnerabilities in Lotus Notes and Domino

11.3.03
The Register: Confusion over serious Notes, Domino vulns

6.3.02
Es wurden noch zwei weitere Sicherheitsprobleme veröffentlicht ( von Rapid 7, Inc.).
Diese wurde aber mit Domino 5.0.12 und Domino 6 gefixt.

Denial of Service issue with the Web Retriever process on the Domino server and Notes client (Mehr unter: http://www.ibm.com/support/docview.wss?rs=463&uid=swg21105060)
A buffer overflow condition during authentication to the Domino server using the Notes protocol. This can cause the Domino server to crash, causing a Denial of Service (Mehr unter: http://www.ibm.com/support/docview.wss?rs=463&uid=swg21105101).

19.2.03
Es wurden in verschiedenen Bereichen Sicherheitslücken gefunden (gemeldet von NGSSoftware):

Lotus 6 Denial of Service Attacks (betrifft Domino 6)
Lotus Domino Web Server iNotes Overflow (R5 + 6)
Lotus Domino Web Server Host/Location Buffer Overflow (R5 + 6)
Lotus iNotes Client ActiveX Control Buffer (COM) Overrun (R5.0.12 + 6.01) Achtung hier den Fix 6.01 CF1 verwenden.

Mehr dazu unter:
http://www.lotus.com/developers/itcentral.nsf/wdocs/2B827C11A2E19A0885256B0300004241
http://www.nextgenss.com/research/advisories.html

Als Fix, für die aktuellen Probleme, steht die aktuelle Lotus Domino 6.01 und Domino 6.01 CF1 auf der Lotus Webseite zur Verfügung.

Für Domino R5 steht die Version 5.0.12 zur Verfügung stehen. Hier ist zur Zeit (11.3.03) aber noch nicht geklärt, ob wirklich alle bekannte Probleme behoben sind (siehe: The Register: Confusion over serious Notes, Domino vulns ).

Weitere Links:

Produkte zum testen von Sicherheitslücken bei Lotus Notes/Domino Web-Anwendungen: