Rapid 7, een Amerikaans onderzoeksbureau op het gebied van beveiliging, heeft drie lekken gevonden in IBM’s Lotus Notes- en Domino-applicatieserver.
Volgens het bureau variëren de kwetsbaarheden van denial-of-service tot complete overname van de controle van de Domino-server. "In sommige gevallen kan het crashen van de Domino-server leiden tot corrupte gegevens in Lotus Notes-databases en in het adresboek", aldus Rapid 7 in een verklaring.
Een van de fouten komt aan het licht wanneer de Lotus Notes/Domino Web Retriever een webpagina wil ophalen met een te lange Http-berichtregel. Daarnaast zijn er fouten gevonden in IBM’s Ldap-implementatie, het gaat hierbij om de versies eerder dan R6. Tot slot kunnen er problemen optreden bij de authentificatie tussen een Notes-client en -server die via het Notes-protocol (NotesRPC) loopt.
IBM is op de hoogte van de lekken en heeft hiervoor een patch (R5.0.12) uitgebracht. Alle gebruikers van versie R5.0.11 en eerder wordt aangeraden deze te installeren.
Klanten met vroege uitvoeringen – waaronder béta-versies – van Lotus Notes R6, wordt eveneens geadviseerd zo snel mogelijk over te stappen naar R6.0.1.
IBM Nederland benadrukt dat geen enkele klant problemen heeft ondervonden van de drie veiligheidslekken.
Voor specifieke informatie:
http://www.ibm.com/software/lotus/support
Kim Loohuis
