S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 janvier 2001
N° CERTA-2001-AVI-008
Affaire suivie par: CERT-FR
le 25 janvier 2001

Avis du CERT-FR

Objet: Vulnérabilité sous Lotus Notes (Domino 5)

Gestion du document

Référence CERTA-2001-AVI-008
Titre Vulnérabilité sous Lotus Notes (Domino 5)
Date de la première version 25 janvier 2001
Date de la dernière version 25 janvier 2001
Source(s) Site Lotus
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire ;
  • Déni de service.

Systèmes affectés

Toutes versions du serveur de messagerie Lotus Notes Domino 5 jusqu'à la 5.0.5 incluse.

Résumé

Un utilisateur mal intentionné peut provoquer un débordement de pile sur un serveur Lotus Notes Domino 5 entraînant l'exécution de code arbitraire ou un déni de service sur la machine cible.

Description

Le serveur de messagerie Lotus est pourvu d'une fonctionnalité permettant de gérer les règles de relayages. Cette fonctionnalité ne vérifiant pas correctement la taille de certaines variables, un utilisateur mal intentionné peut faire exécuter du code arbitraire sur le serveur avec les droits de ce dernier ou créer un déni de service.

Solution

Correctif à télécharger sur le site Lotus :

http://www.notes.net/qmrdown.nsf/LookupViewTemplate?openform&RestricttoCategory=5.0.6&ExpandView

Documentation

Site Lotus :

http://www.notes.net/r5fixlist.nsf/6d4eae9850a5c2c28525690400551b57/5eea8322c479de968525697d00737ad5?OpenDocument

Gestion détaillée du document

    le 25 janvier 2001
    version initiale.