SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection
IBM Lotus Notes Java Applet Signature Execution Control List Contournement de la Sécurité
20/02/2008 11H51 Référence Secunia : SA29031 Date de publication : 2008-02-20
Risque : Non Critique. Niveau 2 sur 5. Impact : Contournement de la Sécurité Lieu : A distance
Solutions :
Solution de l'éditeur
Produit :
IBM Lotus Notes 6.x
IBM Lotus Notes 7.x
IBM Lotus Notes 8.x
Description :
Une faille de sécurité a été rapportée dans IBM Lotus Notes, qui pourrait être exploitée par des personnes malintentionnées pour passer outre certains mécanismes de sécurité.
Le problème est qu'il est possible de contourner l'ECL (Execution Control List ) mécanisme quand par ex. un utilisateur qui reçoit un courriel contenant une applet Java non-signée fait suivre le mail à un autre utilisateur, qui entraine l'applet non-signée à être signé par l'utilisateur originel.
L'exploitation de ce problème est possible seulement si le destinataire du courriel transmis a l'option "Enable Java Applets" activée, l'ECL configuré à permettre l'expéditeur pour exécuter Java, et que l'expéditeur est de confiance à signer des applets Java.
Le problème de sécurité affecte les versions 6.0, 6.5, 7.0, et 8.0.
Solutions :
L'éditeur recommande de désactiver l'option "Enable Java Applets" ou en utilisant a de confiance signature pour tout Java Applets.
Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.
Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.
SECURINFOS