IBM Lotus Notes 8.5.1 / 8.5.2 / 8.5.3 < 8.5.3 FP3 多种漏洞

high Nessus 插件 ID 63281
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 5.9

简介

远程主机安装有受到多种漏洞影响的软件。

描述

远程主机上安装有低于 8.5.3 Fix Pack 3 的 Lotus Notes 8.5.1、8.5.2 或 8.5.3.x。因此据报告,它受到以下漏洞的影响:

- 包括的 IBM Java SDK 版本所包含的 IBM JRE 版本中,存在多个允许在 Java 沙盒外部执行 Java 代码的错误。(CVE-2012-4820、CVE-2012-4821、CVE-2012-4822、CVE-2012-4823)

- 可能发生信息泄露,因为应用程序未在“Set-Cookie”HTTP 标头中设置“HttpOnly”标记。这可允许客户端脚本读取或修改 HTTP Cookie 信息。
(CVE-2012-4846)

请注意,只应用 Java 修补程序(参考编号 1616652)并不能修正“HttpOnly”信息泄露漏洞。

另请注意,在版本 8.5.3 Fix Pack 2 中,如果应用了 Java 修补程序(参考编号 1616652)和临时补丁 (853FP2IF3),这可能是误报。

解决方案

升级到 Lotus Notes 8.5.3 Fix Pack 3 或更高版本。或者,如果正在使用版本 8.5.3 Fix Pack 2,请安装 Java 修补程序(参考编号 1616652)和临时补丁 853FP2IF3。

另见

http://www.nessus.org/u?e0805b61

http://www-01.ibm.com/support/docview.wss?uid=swg21620361

http://www-01.ibm.com/support/docview.wss?uid=swg21616652

http://www-01.ibm.com/support/docview.wss?uid=swg21617185

插件详情

严重性: High

ID: 63281

文件名: lotus_notes_8_5_3_fp3.nasl

版本: 1.7

类型: local

代理: windows

系列: Windows

发布时间: 2012/12/17

最近更新时间: 2018/7/14

依存关系: lotus_notes_installed.nasl

风险信息

风险因素: High

VPR 得分: 5.9

CVSS v2.0

基本分数: 9.3

时间分数: 6.9

矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:ibm:lotus_notes

必需的 KB 项: SMB/Lotus_Notes/Installed

易利用性: No known exploits are available

补丁发布日期: 2012/11/26

漏洞发布日期: 2012/9/11

参考资料信息

CVE: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823, CVE-2012-4846

BID: 55495, 56944