S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 24 décembre 2001
N° CERTA-2001-AVI-166
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du serveur web de Lotus Domino associé à SSL

Gestion du document

Référence CERTA-2001-AVI-166
Titre Vulnérabilité du serveur web de Lotus Domino associé à SSL
Date de la première version 24 décembre 2001
Date de la dernière version 24 décembre 2001
Source(s) bulletin de correctif MALR4Y6RL8
bulletin de sécurité Lotus 190143
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service

Systèmes affectés

Serveurs web Lotus Domino dont la version est inférieure à 5.0.9 avec SSL activé.

Description

Un utilisateur mal intentionné peut, par le biais d'une URL HTTPS (port 443/TCP) habilement conçue, effectuer un débordement de mémoire du serveur web Domino si SSL est activé.

Ce débordement de mémoire a pour conséquence de bloquer l'accès au serveur. Il faut redémarrer le service nHTTP.

Contournement provisoire

Le port 443/TCP doit être bloqué par les gardes-barrières afin d'éviter d'être attaqué depuis l'extérieur.

Solution

Passer à la version 5.0.9 de Lotus Domino ou appliquer le correctif SPR# MALR4Y6RL8.

http://www.notes.net

Documentation

Gestion détaillée du document

    le 24 décembre 2001
    version initiale.