In verschillende producten van Lotus zijn beveiligingsgaten gevonden die geëxploiteerd kunnen worden doordat buffers niet tegen overschrijven beveiligd zijn. Door meer gegevens te sturen dan waar zo'n niet-beveiligde buffer voor ontworpen is, kan een hacker code van eigen makelij binnensmokkelen op de systemen waarop de software met de slecht ontworpen buffers draait. De fouten zijn gepubliceerd door de Engelse beveiligingssoftwarespecialist Next Generation Security Software.
Het gaat hierbij om een fout in de iNotes-messagingsoftware, waardoor een aanvaller zich via een verzoek om webgebaseerde maildiensten meester kan maken van de Domino-server, een buffer in de Lotus Domino 6-applicatieserver die niet beveiligd is tegen overmatig lange hostnamen wanneer gegevens worden opgevraagd uit de Lotus-database, en een fout ontworpen buffer in een ActiveX-control die door iNotes wordt gebruikt in het contact met andere machines. IBM heeft inmiddels een onderhoudsversie gepubliceerd die de gaten dicht. Het bedrijf waarschuwt daarbij echter niet expliciet voor de beveiligingsproblemen in de 6.0-versie van Domino. Next Generation Security Software vindt dat de gaten gebruikers van de software aan kritieke risico's blootstellen. (jwy)
Lees dit PRO artikel gratis
Maak een gratis account aan en geniet van alle voordelen:
Toegang tot 3 PRO artikelen per maand
Inclusief CTO interviews, podcasts, digitale specials en whitepapers
Blijf up-to-date over de laatste ontwikkelingen in en rond tech
