Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • IBM Lotus Domino 5.x ;
  • IBM Lotus Domino 6.x ;
  • IBM Lotus Domino 7.x.

Résumé

Une vulnérabilité présente dans IBM Lotus Domino permet à un utilisateur distant malintentionné de contourner la politique de sécurité.

Description

En utilisant le protocole NRPC (Notes Remote Procedure Call), un utilisateur distant malintentionné, sans être authentifié, peut trouver et télécharger des fichiers identifiants (fichiers ID) de l'annuaire Lotus Notes vulnérable. Une fois le mot de passe du fichier identifiant trouvé, celui-ci pourra être utilisé pour usurper les droits et l'identité de son propriétaire.

Solution

Les versions 7.0.2 et 6.5.5 Fix Pack 2 corrigent le problème en ajoutant l'option BLOCK_LOOKUPID dans le fichier notes.ini.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité IBM Lotus du 07 novembre 2006 :

http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21248026