描述:
IBM 发布了一个安全公告,以应对 IBM Notes 及 Domino 中使用 Apache Commons Collections 关于 InvokerTransformer 类别处理Java对象反串行化的一个漏洞。远程攻击者可以发送特制的数据到受影响的系统上执行任意Java的程序代码。
受影响的系统:
- IBM Domino 9.0.1 至 9.0.1 Fix Pack 4 Interim Fix 3
- IBM Domino 9.0.0x
- IBM Domino 8.5.3 至 8.5.3 Fix Pack 6 Interim Fix 10
- IBM Domino 8.5.2x, 8.5.1x
- IBM Notes 9.0.1 至 9.0.1 Fix Pack 4 Interim Fix 2
- IBM Notes 9.0.0x
- IBM Notes 8.5.3 至 8.5.3 Fix Pack 6 Interim Fix 6
- IBM Notes 8.5.2x, 8.5.1x
影响:
成功利用这些漏洞可以执行程序代码。
建议:
该供货商发行了有关的修补程序以应对以上问题。用户可从以下网址下载:
- Java patch installer for Notes & Domino 9.0.1 Fix Pack 5
http://www-01.ibm.com/support/docview.wss?uid=swg24037141
- Java patch installer for Notes 9.0.1 Fix Pack 5 Interim Fix 1 (Windows only)
http://www.ibm.com/support/docview.wss?uid=swg21657963
- Java patch installer for Notes & Domino 8.5.3 Fix Pack 6 Interim Fixes
http://www.ibm.com/support/docview.wss?uid=swg21663874
进一步信息:
http://www-01.ibm.com/support/docview.wss?uid=swg21971751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7450