S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 mars 2007
N° CERTA-2007-AVI-148
Affaire suivie par: CERT-FR
le 28 mars 2007

Avis du CERT-FR

Objet: Multiples vulnérabilités dans IBM Lotus Domino

Gestion du document

Référence CERTA-2007-AVI-148
Titre Multiples vulnérabilités dans IBM Lotus Domino
Date de la première version 28 mars 2007
Date de la dernière version 28 mars 2007
Source(s) Bulletins de sécurité IBM du 27 mars 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • injection de code indirecte (Cross Site Scripting).

Systèmes affectés

  • IBM Lotus Domino 6.X ;
  • IBM Lotus Domino 7.X ;
  • IBM Lotus Web Access (Notes) 6.X ;
  • IBM Lotus Web Access 7.X.

Résumé

De multiples vulnérabilités présentes dans IBM Lotus Domino permettent à un utilisateur distant de provoquer un déni de service ou de réaliser une attaque par injection de code indirecte (Cross-Site Scripting).

Description

Trois vulnérabilités sont présentes dans IBM Lotus Domino :

  • la première de type débordement de tampon a été identifiée dans le service mettant en œuvre le protocole de messagerie IMAP ;
  • la deuxième, également de type débordement de mémoire, concerne le serveur d'annuaire LDAP ;
  • la dernière est due à un manque de contrôle de certains paramètres passés à l'application Lotus Domino Web Access.
Les deux premières vulnérabilités peuvent être utilisées par un utilisateur malveillant afin de provoquer un déni de service sur la machine vulnérable. Quant à la troisième, elle peut être exploitée pour réaliser une attaque de type Cross-Site Scripting.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 28 mars 2007
    version initiale.