IBM Lotus Notes 8.5.1 / 8.5.2 / 8.5.3 < 8.5.3 FP3 の複数の脆弱性
high Nessus プラグイン ID 63281
言語:
概要
リモートホストに、複数の脆弱性の影響を受ける可能性のあるソフトウェアがインストールされています。説明
リモートホストに 8.5.1、8.5.2 または 8.5.3.x などの Fix Pack 3 の8.5.3 より以前の Lotus Notes のバージョンがインストールされています。そのため、以下の脆弱性の影響を受ける可能性があります:- IBM Java SDK の該当するバージョンは、いくつかのエラーを含む IBM JRE のバージョンを含んでいて、それが Java sandbox 以外での Java コードの実行を可能にします。(CVE-2012-4820、CVE-2012-4821、CVE-2012-4822、 CVE-2012-4823)
- アプリケーションが「Set-Cookie」 HTTP ヘッダーに「HttpOnly」フラグを設定しないために、情報漏洩の可能性があります。これによってクライアント側のスクリプトで HTTP クッキー情報の読み込みまたは変更が可能です。
(CVE-2012-4846)
注意:Java パッチ(参照 #1616652)の適用だけでは 「HttpOnly」情報漏洩の脆弱性を修正しません。
Fix Pack 2 バージョン 8.5.3 では Java パッチ(参照 #1616652)および暫定修正(853FP2IF3)が適用されており、偽陽性であるかもしれません。
ソリューション
Lotus Notes 8.5.3 Fix Pack 3 またはそれ以降にアップグレードしてください。または、もし Fix Pack 2 バージョン 8.5.3 を使用している場合には、Java パッチ(参照 #1616652)および暫定修正 853FP2IF3 をインストールしてください。関連情報
http://www.nessus.org/u?e0805b61
http://www-01.ibm.com/support/docview.wss?uid=swg21620361
プラグインの詳細
深刻度: High
ID: 63281
ファイル名: lotus_notes_8_5_3_fp3.nasl
バージョン: 1.7
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2012/12/17
更新日: 2018/7/14
サポートされているセンサー: Nessus Agent
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
Base Score: 9.3
Temporal Score: 6.9
ベクトル: AV:N/AC:M/Au:N/C:C/I:C/A:C
現状ベクトル: E:U/RL:OF/RC:C
脆弱性情報
CPE: cpe:/a:ibm:lotus_notes
必要な KB アイテム: SMB/Lotus_Notes/Installed
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/11/26
脆弱性公開日: 2012/9/11
参照情報
CVE: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823, CVE-2012-4846