IBM Lotus Domino Web Access ActiveX控件栈漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2007-12-27
IBM Lotus Domino Web Access ActiveX控件栈漏洞 受影响系统:
IBM Lotus Domino Web Access dwa7W.dll 7.0.34.1
IBM Lotus Domino Web Access 7.x

描述:

BUGTRAQ  ID: 26972
CVE(CAN) ID: CVE-2007-4474

IBM Lotus Domino Web Access是Lotus Domino服务器基于web的消息和协作界面。

IBM Lotus Domino Web Access的dwa7.dwa7.1 ActiveX控件(dwa7W.dll)在处理传送给General_ServerName属性的参数时存在栈溢出漏洞,远程安全者可能利用此漏洞控制用户客户端。

如果为该属性分配了超长的字符串然后调用了InstallBrowserHelperDll()方式的话,就会触发这个溢出,导致执行任意指令。

厂商补丁:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ers.ibm.com/