Risques

  • Déni de service à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • IBM Lotus Domino 6.X ;
  • IBM Lotus Domino 7.X ;
  • IBM Lotus Web Access (Notes) 6.X ;
  • IBM Lotus Web Access 7.X.

Résumé

De multiples vulnérabilités présentes dans IBM Lotus Domino permettent à un utilisateur distant de provoquer un déni de service ou de réaliser une attaque par injection de code indirecte (Cross-Site Scripting).

Description

Trois vulnérabilités sont présentes dans IBM Lotus Domino :

  • la première de type débordement de tampon a été identifiée dans le service mettant en œuvre le protocole de messagerie IMAP ;
  • la deuxième, également de type débordement de mémoire, concerne le serveur d'annuaire LDAP ;
  • la dernière est due à un manque de contrôle de certains paramètres passés à l'application Lotus Domino Web Access.

Les deux premières vulnérabilités peuvent être utilisées par un utilisateur malveillant afin de provoquer un déni de service sur la machine vulnérable. Quant à la troisième, elle peut être exploitée pour réaliser une attaque de type Cross-Site Scripting.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation