IBM ha publicado actualizaciones destinadas a solucionar ocho vulnerabilidades de cross-site scripting y una de denegación de servicio en IBM Domino y en IBM iNotes versiones 8.5 y 9.0.

Se trata de ocho vulnerabilidades de cross-site scripting en IBM iNotes, que se incluye como parte de IBM Domino. Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.

También se soluciona una vulnerabilidad de denegación de servicio relacionada con un problema en Apache Tomcat. El fallo reside en el componente Apache Commons FileUpload, un atacante podrá provocar que el servidor deje de responder mediante el envió de peticiones de subida de archivos.

Los CVE asociados son: CVE-2016-0282, CVE-2016-3092, CVE-2016-5880, CVE-2016-2939, CVE-2016-5882, CVE-2016-6113, CVE-2016-5884, CVE-2016-2938 y CVE-2016-2939.

Recursos afectados

  1. IBM Domino 9.0.1 a 9.0.1 Fix Pack 7
  2. IBM Domino 9.0.0x
  3. IBM Domino 8.5.3 a 8.5.3 Fix Pack 6 Interim Fix 14
  4. IBM Domino 8.5.2x
  5. IBM Domino 8.5.1x

Recomendación

IBM ha publicado las siguientes actualizaciones:

Más información:

Fuente: Hispasec

Anuncios