描述:
IBM 發布了一個安全公告,以應對 IBM Notes and Domino 的 Java 中關於 SSL/TLS 的 Factoring Attack on RSA-EXPORT Keys (FREAK) 問題的一個漏洞。此漏洞容許攻擊者截取有保安漏洞的客戶端及伺服器之間的 HTTPS 連接通訊,並強制其使用較弱或 “export-grade” 的加密法以便解密並竊取或竄改敏感資料。
受影響的系統:
- IBM Notes and Domino 9.0.1 Fix Pack 3 ( 以及 Interim Fixes ) 和之前版本
- IBM Notes and Domino 8.5.3 Fix Pack 6 ( 以及 Interim Fixes) 和之前版本
- IBM Notes and Domino 8.5.3 Fix Pack 5 ( 以及 Interim Fixes) 和之前版本
- 以上版本之前的所有 IBM Notes and Domino 9.0 及 8.5.x 版本
影響:
成功利用這個漏洞的攻擊者可以發動中間人 (MITM) 攻擊,甚至在已加密的 SSL 連接中竊取資訊。
建議:
該供應商發行了有關的修補程式以應對以上問題。用戶可從以下網址下載:
- IBM Lotus Notes and Domino 9.0.1 Fix Pack 3, IBM Notes and Domino 8.5.3 Fix Packs 5 和 6 適用的 Java 獨立修補程式
http://www-01.ibm.com/support/docview.wss?uid=swg21701319
進一步資訊:
http://www-01.ibm.com/support/docview.wss?uid=swg21701319
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0138