www.MegaLab.it

La celebre accoppiata di serving aziendale è afflitta da una serie di vulnerabilità particolarmente gravi.

La prima, riportata dal gruppo NGSSoftware, è localizzata nella elaborazione di dati ora/data: inoltrando dati malformati mediante un comando POST, un cracker potrebbe crashare il server o, in circostanze non meglio definite, eseguire codice a propria discrezione.

Una seconda falla interessa invece l'autenticazione degli utenti mediante il protocollo proprietario NRPC Notes: passando una stringa studiata ad hoc, un cracker potrebbe far crashare completamente il server, rendendo necessario un reboot totale della macchina. In questo caso però l'esecuzione di codice non sarebbe possibile.

Un problema minore interessa anche il client Notes: modificando opportunamente il file di configurazione NOTES.INI un cracker potrebbe crashare e bloccare una workstation attrezzata con il client Lotus Notes. Va comunque precisato che l'utente ostile dovrebbe aver accesso diretto al file in questione, ed ad ogni modo non sarebbe possibile sfruttare questa falla per seguire codice.

In ultimo, una falla nella funzione @SetHTTPHeader potrebbe essere sfruttata per portare attacchi via http o modificare arbitrariamente la web cache locale (cache poisoning). Anche in questo caso però è necessario che il cracker possa accedere direttamente al sistema, eventualità ben poco probabile.

IBM ha prontamente rilasciato le versioni 6.5.4 e 6.0.5, epurate da questi problemi: sono disponibili sul sito di Lotus.