IBM Lotus Domino Server Controller Kimlik Doğrulamasını Atlatma
IBM Lotus Domino e-posta sunucusu ve kurumsal uygulama altyapısı sunan bir yazılımdır.
Kaynak:
Security Focus
Seviye:
Yüksek
Bildiri Sürümü:
-
Açıklanma Zamanı:
22.03.2011
Yenilenme Zamanı:
-
Etkilenen Sistemler:
Lotus Domino
CVE:
-
BID:
-
Referanslar:
Firma Anasayfa
http://www.ibm.com
Zero Day Girişimci Danışmanlık
http://www.zerodayinitiative.com/advisories/ZDI-11-110
Yazar(lar):
-
Açıklama:
IBM Lotus Domino e-posta sunucusu ve kurumsal uygulama altyapısı sunan bir yazılımdır ve Lotus Domino Console tarafından yönetilmektedir ve Lotus Domino Server Controller vasıtasıyla erişilebilmektedir. Lotus Domino Server Controller da kimlik doğrulamasını atlatma açıklılğı bulunmaktadır. Lotus Domino Server Controller istemci tarafından sağlanmış çerezi doğrulamak için kullanıcı denetimindeki bir alanda bulunan çerez dosyasını kullanır. Bu çerez dosyasının kullanılmasından dolayı bir saldırgan hedef makine üzerinde gelişi güzel kod çalıştırabilmek için çerez dosyasına kötücül bir hedef belirleyebilir. Açıklığın sömürülebilmesi için herhangi bir kimlik doğrulama işlemine gerek yoktur. Bu açıklık açıklığın 180 günlük bitiş süresi boyunca herhangi bir yama yayınlanmadığından dolayı Zero Day Initiative (ZDI) tarafından açığa çıkarılmıştır. ZDI konsol şifresi içeren bir ayar ve yetkilendirilmiş makinelere 2050 portundan erişimi kısıtlama gibi açıklığın etkisini azaltıcı taktikler önermektedir.
Etki:
Gelişi güzel kod çalıştırma.
Çözüm:
Firma açıklığı kabul etmiştir ancak henüz gerekli güncellemeleri yayınlamamıştır.
Yüksek