Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire à distance

Systèmes affectés

  • IBM Lotus Domino 6.x ;
  • IBM Lotus Domino 7.x ;

Résumé

De multiples vulnérabilités dans Lotus Domino permettent à une personne malintentionnée d'exécuter du code arbitraire à distance ou de porter atteinte à la confidentialité des données.

Description

Quatre vulnérabilités ont été identifiées dans Lotus Domino :

  • la première faille est un débordement de mémoire dans le module IMAP de Domino qui permet à une personne malintentionnée d'exécuter du code arbitraire à distance avec les privilèges du serveur ;
  • la deuxième vulnérabilité est une erreur dans la méthode Evaluate de LotusScript qui peut provoquer la divulgation de données confidentielles ;
  • la troisième vulnérabilité concerne un manque de restrictions dans les zones de mémoire partagée, ce qui peut permettre à un utilisateur local d'accéder aux données d'autres utilisateurs locaux ;
  • la dernière faille concerne certaines commandes relatives à l'autorité de certification (activate et unlock) et peut résulter en l'affichage du mot de passe utilisé en clair.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Les versions 7.0.3 et 8.0 de Lotus Domino corrigent toutes les failles. Deux vulnérabilités ne sont pas corrigées dans les versions 6.x.

Documentation