IBM Lotus Notes 8.5.1 / 8.5.2 / 8.5.3 < 8.5.3 FP3 の複数の脆弱性
high Nessus プラグイン ID 63281
Language:
概要
リモートホストに、複数の脆弱性の影響を受ける可能性のあるソフトウェアがインストールされています。説明
リモートホストに 8.5.1、8.5.2 または 8.5.3.x などの Fix Pack 3 の8.5.3 より以前の Lotus Notes のバージョンがインストールされています。そのため、以下の脆弱性の影響を受ける可能性があります:- The included version of the IBM Java SDK contains a version of the IBM JRE that contains several errors that allow Java code execution outside the Java sandbox. (CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823)
- アプリケーションが「Set-Cookie」 HTTP ヘッダーに「HttpOnly」フラグを設定しないために、情報漏洩の可能性があります。これによってクライアント側のスクリプトで HTTP クッキー情報の読み込みまたは変更が可能です。
(CVE-2012-4846)
Note that applying the Java patch (Reference #1616652) alone does not correct the 'HttpOnly' information disclosure vulnerability.
Further note that in the case of version 8.5.3 Fix Pack 2, if the Java patch (Reference #1616652) and the interim fix (853FP2IF3) have been applied, this may be a false positive.
ソリューション
Upgrade to Lotus Notes 8.5.3 Fix Pack 3 or later. Alternatively, if version 8.5.3 Fix Pack 2 is in use, install the Java patch (Reference #1616652) and the interim fix 853FP2IF3.参考資料
http://www-01.ibm.com/support/docview.wss?uid=swg21616652
http://www.nessus.org/u?e0805b61
プラグインの詳細
深刻度: High
ID: 63281
ファイル名: lotus_notes_8_5_3_fp3.nasl
バージョン: 1.7
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2012/12/17
更新日: 2018/7/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 6.9
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:ibm:lotus_notes
必要な KB アイテム: SMB/Lotus_Notes/Installed
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/11/26
脆弱性公開日: 2012/9/11
参照情報
CVE: CVE-2012-4820, CVE-2012-4821, CVE-2012-4822, CVE-2012-4823, CVE-2012-4846