Уязвимость в Lotus Domino

10/04/2005 14:10

iDEFENSE cообщает об обнаружении уязвимости в IBM Lotus Domino Server. Обнаружена в Вэб-сервиса этого сервера - в компоненте NLSCCSTR.DLL. Большое количество (приблизительно 330) символов в кодировке Unicode с кодом 430 в формируемом URL вида GET /cgi-bin/[xxx] HTTP/1.0 приводит к исчерпанию места в стеке. Таким образом, атакующий может провести DoS-атаку против Вэб-сервера под управлением Lotus Domino. Как указывает iDEFENSE, при этом никаких сообщений в терминале NSERVER не появляется, однако процесс nHTTP.exe прекращает свою работу. Уязвимость была обнаружена в версиях 6.5.1 и 6.03. Lotus Domino версии 6.5.3 уязвимости не подвержен. В выпущенном бюллетене #1202446 IBM сообщила, что не смогла воспроизвести уязвимость и поэтому не собирается выпускать патчи.
Подробности