IBM Lotus Domino Web Access ActiveX控件栈漏洞
来源:岁月联盟
时间:2007-12-27
IBM Lotus Domino Web Access dwa7W.dll 7.0.34.1
IBM Lotus Domino Web Access 7.x
描述:
BUGTRAQ ID: 26972
CVE(CAN) ID: CVE-2007-4474
IBM Lotus Domino Web Access是Lotus Domino服务器基于web的消息和协作界面。
IBM Lotus Domino Web Access的dwa7.dwa7.1 ActiveX控件(dwa7W.dll)在处理传送给General_ServerName属性的参数时存在栈溢出漏洞,远程安全者可能利用此漏洞控制用户客户端。
如果为该属性分配了超长的字符串然后调用了InstallBrowserHelperDll()方式的话,就会触发这个溢出,导致执行任意指令。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ers.ibm.com/
