S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 mars 2001
N° CERTA-2001-AVI-024
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité dans la gestion des clients sous Lotus Notes

Gestion du document

Référence CERTA-2001-AVI-024
Titre Vulnérabilité dans la gestion des clients sous Lotus Notes
Date de la première version01 mars 2001
Date de la dernière version01 mars 2001
Source(s) Avis de Lotus
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire

Systèmes affectés

Cette vulnérabilité des versions 4.6.x et 5.x du client Lotus Notes est indépendante du système exploitation.

Résumé

Un utilisateur mal intentionné peut, à l'aide d'un formulaire Lotus (Stored Form) habilement construit et inséré dans un courrier électronique, faire exécuter du code par le client de son destinataire.

Description

Le client Notes possède un outil permettant de faciliter l'affichage de données dans un courrier. Il permet de saisir les informations qui seront envoyées dans le document à partir d'un formulaire. Il est aussi possible d'envoyer ce formulaire au destinataire du message pour le cas où ce dernier ne le possède pas encore.

Il est possible d'insérer des scripts (LotusScript par exemple) dans ces formulaires. Selon son paramétrage le client risque d'exécuter le script automatiquement à la réception du courrier.

Contournement provisoire

Utiliser les ECL (Execution Control List) comme indiqué dans l'avis de sécurité de Lotus :

http://www.notes.net/today.nsf/9148b29c86ffdcd385256658007aaa0f/3a9da544637a69b2852568310078b649?OpenDocument

Documentation

Gestion détaillée du document

    le 01 mars 2001
    version initiale.