Risque
- Contournement de la politique de sécurité
Systèmes affectés
- IBM Lotus Domino 5.x ;
- IBM Lotus Domino 6.x ;
- IBM Lotus Domino 7.x.
Résumé
Une vulnérabilité présente dans IBM Lotus Domino permet à un utilisateur distant malintentionné de contourner la politique de sécurité.
Description
En utilisant le protocole NRPC (Notes Remote Procedure Call), un utilisateur distant malintentionné, sans être authentifié, peut trouver et télécharger des fichiers identifiants (fichiers ID) de l'annuaire Lotus Notes vulnérable. Une fois le mot de passe du fichier identifiant trouvé, celui-ci pourra être utilisé pour usurper les droits et l'identité de son propriétaire.
Solution
Les versions 7.0.2 et 6.5.5 Fix Pack 2 corrigent le problème en ajoutant l'option BLOCK_LOOKUPID dans le fichier notes.ini.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM Lotus du 07 novembre 2006 : http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21248026