发布日期：2003-02-17
更新日期：2003-02-24

受影响系统：

Lotus Domino 6.0

不受影响系统：

Lotus Domino 6.0.1

描述：

---

BUGTRAQ  ID: 6871
CVE ID: CVE-2003-0178

Lotus Domino Web服务器是一款商业性质HTTPD服务程序，提供多种服务，包括EMAIL，可运行在Linux/Unix和Microsoft Windows操作系统平台下。

Lotus Domino iNotes Web服务程序对用户提供的请求参数缺少正确边界缓冲区检查，远程攻击者可以利用这个漏洞进行缓冲区溢出攻击，可能以Domino进程权限在系统上执行任意指令。

当请求基于WEB的邮件服务时，攻击者提供超长的值给PresetFields参数的s_ViewName/Foldername选项，可导致iNotes发生缓冲区溢出，精心构建提交数据可能以Web进程权限在系统上执行任意指令。

<*来源：NGSSoftware Insight Security Research
  
  链接：http://www[.]nextgenss[.]com/advisories/lotus-inotesoflow.txt
*>

建议：

---

厂商补丁：

Lotus
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载升级到Domino 6.0.1版本：

Lotus Domino 6.0:

IBM Upgrade Lotus Domino 6.0.1 Upgrade
http://www14.software.ibm.com/webapp/download/search.jsp?q=&cat=&pf=&k=&dt=&go=y&rs=ESD-DMNTSRVRi&S_TACT=&S_CMP=&sb=r

浏览次数：5843
严重程度：0（网友投票）