Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-752

[Lotus/Domino] Schwachstellen in Lotus Domino
(2002-03-20 13:09:34+00)

Quelle: http://www.securitytracker.com/alerts/2002/Mar/1003838.html

Durch mehrere Schwachstellen in Lotus Domino können lokale Angreifer root-Privilegien auf dem beherbergenden System erlangen.

Betroffene Systeme

Einfallstor
lokaler Account

Auswirkung

  1. Lokale Benutzer können root-Privilegien erlangen (local root compromise)
  2. Lokale Benutzer können Dateien mit root-Privilegien anlegen/schreiben. Mittelbar kann dies zur Kompromittierung des beherbergenden Rechnersystems (indirect local root compromise) ausgenutzt werden.
  3. Lokale Benutzer können root-Privilegien erlangen (local root compromise)

Typ der Verwundbarkeit

  1. insufficient bounds checking der PATH-Umgebungsvariablen
  2. predictable temporary file naming (/tmp race condition)
  3. buffer overflow bug

Gefahrenpotential

  1. hoch
  2. hoch
  3. hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  1. Die Verarbeitung der PATH-Umgebungsvariablen in Lotus Notes besitzt eine Schwachstelle, die lokalen Angreifern ermöglicht, beliebigen Programmcode mit root-Privilegien auszuführen.
  2. Lotus Domino weist eine Schwachstelle beim Anlegen von temporären Dateien auf: deren Namen sind vorhersagbar. Dies ermöglicht die üblichen Symlink-Angriffe, über die lokale Angreifer Dateien mit root-Privilegien anlegen/ändern können.
  3. Durch eine Pufferüberlauf-Schwachstelle in den Mechanismen zur Verarbeitung der Umgebungsvariablen Notes_ExecDirectory können lokale Anwender root-Privilegien erlangen.

Gegenmaßnahmen
Update auf Lotus Domino Version 5.0.9a

Vulnerability ID

Weitere Information zu diesem Thema

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=752