IBM Lotus Notes 8.5.1 / 8.5.2 / 8.5.3 < 8.5.3 FP3 多种漏洞
high Nessus 插件 ID 63281
语言:
简介
远程主机安装有受到多种漏洞影响的软件。描述
远程主机上安装有低于 8.5.3 Fix Pack 3 的 Lotus Notes 8.5.1、8.5.2 或 8.5.3.x。因此据报告,它受到以下漏洞的影响:- 包括的 IBM Java SDK 版本所包含的 IBM JRE 版本中,存在多个允许在 Java 沙盒外部执行 Java 代码的错误。(CVE-2012-4820、CVE-2012-4821、CVE-2012-4822、CVE-2012-4823)
- 可能发生信息泄露,因为应用程序未在“Set-Cookie”HTTP 标头中设置“HttpOnly”标记。这可允许客户端脚本读取或修改 HTTP Cookie 信息。
(CVE-2012-4846)
请注意,只应用 Java 修补程序(参考编号 1616652)并不能修正“HttpOnly”信息泄露漏洞。
另请注意,在版本 8.5.3 Fix Pack 2 中,如果应用了 Java 修补程序(参考编号 1616652)和临时补丁 (853FP2IF3),这可能是误报。
解决方案
升级到 Lotus Notes 8.5.3 Fix Pack 3 或更高版本。或者,如果正在使用版本 8.5.3 Fix Pack 2,请安装 Java 修补程序(参考编号 1616652)和临时补丁 853FP2IF3。另见
http://www.nessus.org/u?e0805b61
http://www-01.ibm.com/support/docview.wss?uid=swg21620361
插件详情
严重性: High
ID: 63281
文件名: lotus_notes_8_5_3_fp3.nasl
版本: 1.7
类型: local
代理: windows
系列: Windows
发布时间: 2012/12/17
最近更新时间: 2018/7/14
支持的传感器: Nessus Agent
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9.3
时间分数: 6.9
矢量: AV:N/AC:M/Au:N/C:C/I:C/A:C
时间矢量: E:U/RL:OF/RC:C
漏洞信息
CPE: cpe:/a:ibm:lotus_notes
必需的 KB 项: SMB/Lotus_Notes/Installed
易利用性: No known exploits are available
补丁发布日期: 2012/11/26
漏洞发布日期: 2012/9/11
参考资料信息
CVE: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823, CVE-2012-4846