IBM har tettet flere sårbarheter i selskapets Lotus Notes- og Domino-produkter. Sårbarhetene skal primært kunne utnyttes til å utføre tjenestenektangrep mot programvaren.
Det ene problemet skyldes ifølge Secunia en ikke-kontrollert buffer i Domino Server som under behandlingen av visse tids- og datofelter kan utnyttes til å forårsake en overflytsfeil i bufferen ved levere en stor mengde med data. Ifølge IBM skal dette kunne få Domino-serveren til å krasje.
En strengformatteringsfeil i Domino Server under håndteringen av godkjennelse via NRPC Notes-protokollen, kan utnyttes via en spesielt utformet streng som inneholder formatspesifikasjoner. Også denne sårbarheten kan utnyttes til å krasje Domino Server.
Det rapporteres også om en uspesifisert feil i håndteringen av NOTES.INI-filen i Notes-klienten. Denne feilen kan utnyttes til å forårsake en overflytsfeil i en buffer. Dette kan få Notes-klienten til å krasje, men forutsetter lokal adgang til NOTES.INI-filen.
Dessuten varsles det om en feil i funksjonen "@SetHTTPHeader" som kan utnyttes til å sette inn vilkårlig innhold i headere og potensielt utføre et HTTP responssplittingsangrep eller "forgiftning" av proxycacher.
Den sårbare funksjonen skal bare være tilgjengelig for applikasjonsutviklere, og vellykket utnyttelse forutsetter rettigheter til å installere en ondsinnet applikasjon på Domino-serveren.
Sårbarhetene skal være fjernet i versjon 6.5.4 eller 6.0.5 av Lotus Notes og Domino.
