Avis du CERT-FR

Objet: Vulnérabilité du client Lotus Notes

Gestion du document

Référence	CERTA-2004-AVI-207
Titre	Vulnérabilité du client Lotus Notes
Date de la première version	25 juin 2004
Date de la dernière version	25 juin 2004
Source(s)	Bulletin de sécurité 06.23.04 d'iDEFENSE
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

Lotus Notes 6.5.x, 6.0.x

Description

Le client Lotus Notes ne filtre pas correctement les caractères spéciaux contenus dans les URL de la forme notes://.

En incitant un utilisateur à visualiser au moyen d'un client Lotus Notes une page HTML habilement constituée, un utilisateur mal intentionné peut forcer l'exécution de code arbitraire à distance sur la plate-forme vulnérable.

Solution

Les versions 6.0.4 et 6.5.2 corrigent cette vulnérabilité.

Documentation

Bulletin de sécurité 06.23.04 d'iDEFENSE :

http://www.idefense.com/application/poi/display?id=111&type=vulnerabilities

Bulletin de sécurité "Lotus Notes URL handler argument injection vulnerability" d'IBM :
```
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21169510
```

Référence CVE CAN-2004-0480 :

https://www.cve.org/CVERecord?id=CAN-2004-0480

Gestion détaillée du document

le 25 juin 2004: version initiale.