{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Vuln\u00e9rabilit\u00e9 Lotus Domino 5.0 \u00e0 5.0.6 ind\u00e9pendante de la  plate-forme.</P>","content":"## Description\n\nUn utilisateur mal intentionn\u00e9 peut, par le biais d'une URL mal form\u00e9e,\nacc\u00e9der en lecture \u00e0 tous les fichiers se situant sur le volume\ncontenant les donn\u00e9es du serveur web de Lotus Domino.\n\nLe serveur HTTP de Domino a les privil\u00e8ges du groupe d'utilisateurs\nSyst\u00e8me (ou system), si ce volume est celui sur lequel est install\u00e9 le\nsyst\u00e8me d'exploitation, l'intrus peut acc\u00e9der \u00e0 tous les fichiers\nsyst\u00e8mes.\n\n## Contournement provisoire\n\n-   Les donn\u00e9es d'un serveur doivent toujours se situer sur un autre\n    volume que le syst\u00e8me en lui m\u00eame.\n\n-   Le CERT-IST recommande d'effectuer une redirection de lien pour un\n    \u00e9l\u00e9ment de l'URL permettant l'acc\u00e8s \u00e0 ces donn\u00e9es non autoris\u00e9es. Il\n    s'agit de rediriger tout ce qui contient la cha\u00eene de caract\u00e8res\n    /../.\n\n    Pour cela :\n\n    -   Ouvrir le client d'administration du serveur,\n    -   s\u00e9lectionner le serveur \u00e0 administrer,\n    -   dans l'onglet Configuration, section Serveur, Document serveur\n        courant,\n    -   cliquer sur le bouton web...,\n    -   s\u00e9lectionner Cr\u00e9er mappage/redirection d'URL,\n    -   dans le document de redirection d'URL, onglet G\u00e9n\u00e9ral,\n        S\u00e9lectionner URL --\\> Redirection d'URL,\n    -   dans l'onglet mappage, dans le champ chemin d'URL entrante,\n        entrer : \\*/../\\* et dans celui nomm\u00e9 cha\u00eene de redirection\n        d'URL, taper http://nom du serveur/homepage.nsf ou homepage.nsf\n        est le nom de la page sur laquelle rediriger une tentative\n        d'acc\u00e8s non-autoris\u00e9,\n    -   enregistrer le document et relancer la t\u00e2che HTTP (tell HTTP\n        restart).\n\nNota : Pour supprimer cette redirection, il faut ouvrir le client\nd'administration, s\u00e9lectionner le serveur \u00e0 administrer, et dans\nl'onglet configuration, section web, configuration de serveur web,\nsupprimer d'un clic droit sur la r\u00e8gle de redirection, puis relancer le\nservice HTTP.\n\n## Solution\n\nAppliquer le Correctif de Lotus d\u00e8s qu'il para\u00eet sur la liste des\ncorrectifs dont l'URL est indiqu\u00e9e dans la section Documentation.\n","cves":[],"links":[],"reference":"CERTA-2001-AVI-001","revisions":[{"description":"version initiale.","revision_date":"2001-01-12T00:00:00.000000"}],"risks":[{"description":"Acc\u00e8s \u00e0 des donn\u00e9es non-autoris\u00e9es"},{"description":"Ex\u00e9cution de code arbitraire"}],"summary":"Une vuln\u00e9rabilit\u00e9 de Lotus Domino 5 permet \u00e0 un utilisateur mal\nintentionn\u00e9 d'avoir acc\u00e8s \u00e0 distance en lecture \u00e0 des fichiers qui ne\nlui sont pas normalement autoris\u00e9s.\n","title":"Vuln\u00e9rabilit\u00e9 de Lotus Domino 5","vendor_advisories":[{"published_at":null,"title":"Lotus","url":"http://www.notes.net/r5fixlist.nsf/SPRViewTemplate?OpenForm"}]}