CERTA-2003-AVI-068

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités de Lotus Notes et Domino permettent à un utilisateur mal intentionné d'exécuter du code arbitraire ou de provoquer un déni de service.

Description

La première vulnérabilité concerne un débordement de mémoire dans le service COM Object Control Handler de Lotus Notes et Domino.

Cette vulnérabilité avait été annoncée comme une vulnérabilité de iNotes ActiveX, mais elle n'est pas spécifique à iNotes ou aux ActiveX. Elle peut notamment être présente sur des clients Notes ou des serveurs Domino installés sur d'autres plates-formes que Microsoft Windows.

Les systèmes affectés sont Lotus Notes et Domino versions 5.0.12, 6.0.1 et antérieures.

La deuxième vulnérabilité concerne le protocole LDAP. Les versions de Lotus Domino R5.0.7 et antérieures présentaient une vulnérabilité dans la gestion du protocole LDAP, qui avait été corrigée dans la version R5.0.7a.

Cette vulnérabilité est à nouveau présente dans les versions Lotus Notes et Domino R6 alpha et beta.

Solution

Appliquer le correctif pour la première vulnérabilité.

Les versions Lotus Domino et Notes R6.0 Gold et R6.0.1 corrigent la deuxième vulnérabilité.

None
Impacted products
Vendor Product Description
N/A N/A Lotus Notes et Domino versions 5.0.12, 6.0.1 et antérieures ;
N/A N/A Lotus Domino 6.0 versions alpha et beta.
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Lotus Notes et Domino versions 5.0.12, 6.0.1 et ant\u00e9rieures ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Lotus Domino 6.0 versions alpha et beta.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 concerne un d\u00e9bordement de m\u00e9moire dans le\nservice COM Object Control Handler de Lotus Notes et Domino.\n\nCette vuln\u00e9rabilit\u00e9 avait \u00e9t\u00e9 annonc\u00e9e comme une vuln\u00e9rabilit\u00e9 de iNotes\nActiveX, mais elle n\u0027est pas sp\u00e9cifique \u00e0 iNotes ou aux ActiveX. Elle\npeut notamment \u00eatre pr\u00e9sente sur des clients Notes ou des serveurs\nDomino install\u00e9s sur d\u0027autres plates-formes que Microsoft Windows.\n\nLes syst\u00e8mes affect\u00e9s sont Lotus Notes et Domino versions 5.0.12, 6.0.1\net ant\u00e9rieures.  \n\nLa deuxi\u00e8me vuln\u00e9rabilit\u00e9 concerne le protocole LDAP. Les versions de\nLotus Domino R5.0.7 et ant\u00e9rieures pr\u00e9sentaient une vuln\u00e9rabilit\u00e9 dans\nla gestion du protocole LDAP, qui avait \u00e9t\u00e9 corrig\u00e9e dans la version\nR5.0.7a.\n\nCette vuln\u00e9rabilit\u00e9 est \u00e0 nouveau pr\u00e9sente dans les versions Lotus Notes\net Domino R6 alpha et beta.\n\n## Solution\n\nAppliquer le correctif pour la premi\u00e8re vuln\u00e9rabilit\u00e9.  \n\nLes versions Lotus Domino et Notes R6.0 Gold et R6.0.1 corrigent la\ndeuxi\u00e8me vuln\u00e9rabilit\u00e9.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis R7-0012 de Rapid7 (deuxi\u00e8me vuln\u00e9rabilit\u00e9) :",
      "url": "http://www.rapid7.com/advisories/R7-0012.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 IBM (premi\u00e8re vuln\u00e9rabilit\u00e9) :",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=swg21104543"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 NGSSoftware Insight NISR17022003e    (premi\u00e8re vuln\u00e9rabilit\u00e9) :",
      "url": "http://www.nextgenss.com/advisories/lotus-inotesclientaxbo.txt"
    }
  ],
  "reference": "CERTA-2003-AVI-068",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-03-28T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s de Lotus Notes et Domino permettent \u00e0 un utilisateur\nmal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire ou de provoquer un d\u00e9ni de\nservice.\n",
  "title": "Deux vuln\u00e9rabilit\u00e9s de Lotus Notes et Domino",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis CA-2003-11 du CERT/CC",
      "url": "http://www.cert.org/advisories/CA-2003-11.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.