VULHUB ™

Lotus Domino/Notes服务器是一款基于WEB协同工作的应用程序架构，运行在Linux/Unix和Microsoft Windows操作系统平台下。 Lotus Domino的tunekrnl在处理数据拷贝时存在缓冲区溢出漏洞，本地攻击者可能利用此漏洞提升权限。 tunekrnl二进制程序用于设置Linux/proc sysctl，允许Domino增加正在运行内核的资源限制。这个二进制程序默认将所有者设置为root，并将set-user-id位设置为on。由于在进行拷贝时没有正确的验证输入的长度，本地攻击者可能触发缓冲区溢出，获得root权限提升。 IBM Lotus Domino 7.0.1.1 for Linux 临时解决方法： 如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁： * 重新命名或删除/etc/SuSE-release或/etc/redhat-release文件。 * 从tunekrnl二进制程序删除set-user-id位。 厂商补丁： IBM --- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.ers.ibm.com/" target="_blank">http://www.ers.ibm.com/</a>

Lotus Domino/Notes服务器是一款基于WEB协同工作的应用程序架构，运行在Linux/Unix和Microsoft Windows操作系统平台下。 Lotus Domino的tunekrnl在处理数据拷贝时存在缓冲区溢出漏洞，本地攻击者可能利用此漏洞提升权限。 tunekrnl二进制程序用于设置Linux/proc sysctl，允许Domino增加正在运行内核的资源限制。这个二进制程序默认将所有者设置为root，并将set-user-id位设置为on。由于在进行拷贝时没有正确的验证输入的长度，本地攻击者可能触发缓冲区溢出，获得root权限提升。 IBM Lotus Domino 7.0.1.1 for Linux 临时解决方法： 如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁： * 重新命名或删除/etc/SuSE-release或/etc/redhat-release文件。 * 从tunekrnl二进制程序删除set-user-id位。 厂商补丁： IBM --- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.ers.ibm.com/" target="_blank">http://www.ers.ibm.com/</a>