Risques
- Déni de service à distance
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- IBM Lotus Domino 6.X ;
- IBM Lotus Domino 7.X ;
- IBM Lotus Web Access (Notes) 6.X ;
- IBM Lotus Web Access 7.X.
Résumé
De multiples vulnérabilités présentes dans IBM Lotus Domino permettent à un utilisateur distant de provoquer un déni de service ou de réaliser une attaque par injection de code indirecte (Cross-Site Scripting).
Description
Trois vulnérabilités sont présentes dans IBM Lotus Domino :
- la première de type débordement de tampon a été identifiée dans le service mettant en œuvre le protocole de messagerie IMAP ;
- la deuxième, également de type débordement de mémoire, concerne le serveur d'annuaire LDAP ;
- la dernière est due à un manque de contrôle de certains paramètres passés à l'application Lotus Domino Web Access.
Les deux premières vulnérabilités peuvent être utilisées par un utilisateur malveillant afin de provoquer un déni de service sur la machine vulnérable. Quant à la troisième, elle peut être exploitée pour réaliser une attaque de type Cross-Site Scripting.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21257026 du 27 mars 2007 : http://www.1-ibm.com/support/docview.wss?uid=swg21257026
- Bulletin de sécurité IBM swg21257028 du 27 mars 2007 : http://www.1-ibm.com/support/docview.wss?uid=swg21257028
- Bulletin de sécurité IBM swg21257248 du 27 mars 2007 : http://www.1-ibm.com/support/docview.wss?uid=swg21257248