S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 29 octobre 2007
No CERTA-2007-AVI-461 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans IBM Lotus Domino
Tableau 1: Gestion du document
| Référence |
CERTA-2007-AVI-461 |
| Titre |
Multiples
vulnérabilités dans IBM Lotus
Domino |
| Date de la première
version |
29 octobre 2007 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletins de
sécurité IBM |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- atteinte à la confidentialité des
données.
- IBM Lotus Domino 6.x ;
- IBM Lotus Domino 7.x ;
De multiples vulnérabilités dans Lotus Domino
permettent à une personne malintentionnée
d'exécuter du code arbitraire à distance ou de
porter atteinte à la confidentialité des
données.
Quatre vulnérabilités ont été
identifiées dans Lotus Domino :
- la première faille est un débordement de
mémoire dans le module IMAP de Domino qui
permet à une personne malintentionnée
d'exécuter du code arbitraire à distance avec
les privilèges du serveur ;
- la deuxième vulnérabilité est une
erreur dans la méthode Evaluate de LotusScript qui peut
provoquer la divulgation de données confidentielles
;
- la troisième vulnérabilité concerne
un manque de restrictions dans les zones de mémoire
partagée, ce qui peut permettre à un
utilisateur local d'accéder aux données
d'autres utilisateurs locaux ;
- la dernière faille concerne certaines commandes
relatives à l'autorité de certification (activate et unlock) et peut résulter en
l'affichage du mot de passe utilisé en clair.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation). Les versions 7.0.3 et
8.0 de Lotus Domino corrigent toutes les failles. Deux
vulnérabilités ne sont pas corrigées dans
les versions 6.x.
- 29 octobre 2007
- version initiale.
CERTA
2012-01-04
|
)
