Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

HSC : Multiples vulnérabilités dans IBM Lotus Domino Server

octobre 2007 par HSC

Criticité HSC : 4/5 - haute

Exploitation : Indisponible

Résumé : Plusieurs vulnérabilités, allant de la fuite d’information à l’exécution distante possible de code arbitraire, ont été découvertes sur IBM Lotus Domino Server.

Source : Multiple

Objet : Lotus Notes

Description :

Une erreur de bornes a été signalée dans le service IMAP lors de la
gestion des noms de mailbox. Cette erreur peut aboutir à un débordement
de tampon sur le serveur Domino, résultant potentiellement en
l’exécution de code arbitraire et donc la compromission du serveur
Domino en utilisant des noms de mailbox spécialement conçus. Cependant,
il faut au préalable être authentifié sur le serveur IMAP.
Avis officiel :
http://www-1.ibm.com/support/docview.wss?uid=swg21270623

Une fuite d’information possible dans LotusScript sous certaines
conditions particulières a été montrée, mettant en jeu la méthode
"Evaluate" et l’utilisation de certaines commandes agissant sur les vues
(views) et les agents.
Avis officiel :
http://www-1.ibm.com/support/docview.wss?uid=swg21273266

IBM a corrigé une erreur dans la gestion du certificat d’autorité (CA),
lors de laquelle des mots de passe peuvent apparaître en clair dans le
panneau d’administration et dans les journaux (console.log). Cette fuite
d’information a lieu si les commandes "activate" ou "unlock" sont
utilisées avec des majuscules.
Avis officiel :
http://www-1.ibm.com/support/docview.wss?uid=swg21261095

Enfin des faiblesses dans le cloisonnement des zones mémoires
subsistent, permettant à un utilisateur local d’accéder aux zones
mémoires de Domino Server utilisées par d’autres utilisateurs. (Note :
il s’agit de la même vulnérabilité qui touche le client Lotus Notes).
Avis officiel :
http://www-1.ibm.com/support/docview.wss?uid=swg21257030


Voir les articles précédents

    

Voir les articles suivants