Risque
Déni de service.
Systèmes affectés
- Lotus Notes/Domino R4.5 serveur et client ;
- Lotus Notes/Domino R4.6 serveur et client ;
- Lotus Notes/Domino R5 serveur et client ;
- Lotus Notes/Domino R6 beta (pre-Gold) serveur et client ;
Résumé
Une vulnérabilité du serveur mandataire Web Retriever de Lotus peut entraîner un déni de service.
Description
Le serveur mandataire Web Retriever de Lotus Notes/Domino est utilisé par un utilisateur Notes pour récupérer des pages web via le serveur Notes.
Si le Web Retriever reçoit une ligne "HTTP Status" du serveur HTTP distant excédant une certaine longueur, le programme s'arrête inopinément.
Dans le cas où le Web Retriever est lancé sur un serveur, l'arrêt du programme provoque un déni de service sur le serveur. Dans le cas où le programme est lancé localement par un client, son arrêt provoque l'arrêt du client Notes.
Solution
Mettre à jour le serveur Domino ou le client Notes. Les versions suivantes ne sont pas vulnérables :
- Lotus Notes/Domino R6.0 Gold ;
- Lotus Notes/Domino R6.0.1 ;
- Lotus Notes/Domino R5.0.12.
Documentation
Avis de Rapid7, Inc. :
http://www.rapid7.com/advisories/R7-0011.html
Avis de IBM Lotus #1105060 :
http://www-1.ibm.com/support/docview.wss?uid=swg21105060
