发布日期:2010-12-13
更新日期:2010-12-28
受影响系统:
IBM Lotus Mobile Connect 6.1.3
不受影响系统:
IBM Lotus Mobile Connect 6.1.4
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 45361
CVE ID: CVE-2010-4591,CVE-2010-4592,CVE-2010-4593
IBM Lotus Mobile Connect软件允许企业提供VPN以有效扩展应用程序到许多无线和有线网络上的移动人员中。
IBM Lotus Mobile Connect软件在实现上存在漏洞,远程攻击者可利用此漏洞绕过某些安全限制造成拒绝服务。
此漏洞源于:
1)用户通过"Logoff"按钮退出后,Connection Manager未正确删除会话的LTPA令牌。攻击者需要有无人值守客户端的访问权。
2)Connection Manager未正确处理到基于HTTP-TCP的MNC的失败连接,可造成内存耗尽和崩溃。
3)处理具有同一VPN ID的重复登录时,Connection Manager的参考计数器中存在错误,可造成与活动会话的参考计数器失去共时性,导致耗尽所有动态IP地址。
<**>
建议:
--------------------------------------------------------------------------------
厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: