Un internaute malveillant pourrait effectuer des attaques du type Cross Site Scripting (CSS) et causer un Déni de Service (DoS) par le biais de ces vulnérabilités.

Mark Litchfield, Ollie Whitehouse et Juan C Calderon ont rapporté des vulnérabilités pour Lotus Domino et Notes 6.x

• Mark Litchfield de NGS Software a rapporté une erreur de limitation dans le serveur Domino lors du traitement de certains champs de date et de temps, pouvant être mis à jour par Internet, qui peut être exploitée pour causer un débordement de buffer en fournissant une grande quantité de données dans ces champs vulnérables. Suivant le fournisseur, l'exploitation rend indisponible le serveur Domino.

  
  

• Ollie Whitehouse de Symantec a rapporté une erreur de format de chaîne dans le serveur Domino, lors du traitement de l'authentification utilisant le protocole NRPC Notes, qui peut être exploitée par le biais d'une chaîne forgée. Suivant le fournisseur, l'exploitation rend indisponible le serveur Domino.

  
  

• Ollie Whitehouse de Symantec a rapporté une erreur de limitation non spécifiée dans NOTES.ini dans le client Lotus Notes qui peut être exploitée pour causer un débordement de buffer. Suivant le fournisseur, l'exploitation rend indisponible le client Lotus Notes.

  
  

• Juan C Calderon a rapporté une erreur dans la fonction "@SetHTTPHeader" qui peut être exploitée pour injecter du code arbitraire dans les en-tête HTTP. Suivant le fournisseur, la fonction vulnérable n'est disponible que pour les développeurs d'applications et l'exploitation requiert la possibilité d'installer une application malicieuse sur le serveur Domino.

Mettre à jour vers les versions 6.5.4 ou 6.0.5.

Lien(s) Associé(s) :

• Bulletin IBM n°1

• Bulletin IBM n°2

• Bulletin IBM n°3

• Bulletin IBM n°4

Auteur(s) Associé(s) : Mark Litchfield ( 2 ) / Ollie Whitehouse ( 1 ) / Juan C Calderon ( 1 )