CERTA-2001-AVI-141

Vulnerability from certfr_avis - Published: - Updated:

En construisant habilement les URL dans un navigateur internet, il est possible d'obtenir un certain nombre d'informations concernant un serveur Domino et ses bases de données.

Description

Trois vulnérabilités différentes permettent d'obtenir des informations non autorisées sur des serveurs Lotus Domino 5.x :

  1. Il est possible à un utilisateur sans privilège d'accéder à distance à l'un des fichiers servant à l'administration distante du serveur (Web Administrator template file), webadmin.ntf.
  2. Lotus Domino possède une fonctionnalité appelée Navigateur par Défaut ($DefaultNav) permettant à un utilisateur de naviguer dans toute la base de données. Cette fonctionnalité ne devrait pas être accessible par des utilisateurs non autorisés. Un utilisateur mal intentionné peut accéder à des données non autorisées par le biais d'une URL habilement construite. Une première solution de contournement au moyen d'une redirection des URL */*.nsf/$DefaultNav* avait été suggérée par Lotus. Mais elle n'est pas suffisante car elle peut être contournée.
  3. Il est possible de présenter une base de données et ses documents sous la forme de vues. Des ACL (Access Control List correctement paramétrées permettent d'appliquer des permissions à certaines vues de façon à en empêcher l'accès à des utilisateurs spécifiés. Cependant, il est possible de contourner ces ACL par le biais d'une URL habilement construite utilisant une autre vue ayant des contrôles d'accès plus laxistes, pour visualiser un document non autorisé.

Contournement provisoire

  1. Pour la vulnérabilité de webadmin.ntf, Lotus recommande d'utiliser le client Domino Designer afin de modifier les ACL qui sont appliquées à ce fichier. Si nécessaire, changer le niveau de sécurité par défaut à No Access.
  2. Pour la vulnérabilité concernant l'accès à la base de données complète par un utilisateur sans privilège, Lotus recommande de modifier les permissions document par document afin que les documents ne soient pas accessibles par des utilisateurs non autorisés.
  3. Pour la vulnérabilité concernant l'accès aux données par le biais de vues détournées, Lotus recommande d'appliquer des permissions spécifiques à chaque document au moyen de son champ lecture.

Solution

  1. La version 5.0.9 de Domino corrige les permissions d'accès par défaut au fichier webadmin.ntf.

    Attention ! Si l'administrateur crée lui-même des fichiers permettant d'administrer à distance des bases de données, il doit y appliquer les ACL nécessaires pour que ceux-ci ne soient pas utilisables par un utilisateur sans privilège (de la même façon que l'on applique des permissions particulières aux scripts cgi d'un serveur web).

  2. La version 5.0.10 corrige les permissions et supprime l'accès à la base de données par le biais de la fonctionalité de Navigateur par Défaut.

Serveurs Lotus Domino 5.x.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eServeurs Lotus Domino 5.x.\u003c/P\u003e",
  "content": "## Description\n\nTrois vuln\u00e9rabilit\u00e9s diff\u00e9rentes permettent d\u0027obtenir des informations\nnon autoris\u00e9es sur des serveurs Lotus Domino 5.x :\n\n1.  Il est possible \u00e0 un utilisateur sans privil\u00e8ge d\u0027acc\u00e9der \u00e0 distance\n    \u00e0 l\u0027un des fichiers servant \u00e0 l\u0027administration distante du serveur\n    (Web Administrator template file), webadmin.ntf.\n2.  Lotus Domino poss\u00e8de une fonctionnalit\u00e9 appel\u00e9e Navigateur par\n    D\u00e9faut (`$DefaultNav`) permettant \u00e0 un utilisateur de naviguer dans\n    toute la base de donn\u00e9es. Cette fonctionnalit\u00e9 ne devrait pas \u00eatre\n    accessible par des utilisateurs non autoris\u00e9s. Un utilisateur mal\n    intentionn\u00e9 peut acc\u00e9der \u00e0 des donn\u00e9es non autoris\u00e9es par le biais\n    d\u0027une URL habilement construite. Une premi\u00e8re solution de\n    contournement au moyen d\u0027une redirection des URL\n    `*/*.nsf/$DefaultNav*` avait \u00e9t\u00e9 sugg\u00e9r\u00e9e par Lotus. Mais elle n\u0027est\n    pas suffisante car elle peut \u00eatre contourn\u00e9e.\n3.  Il est possible de pr\u00e9senter une base de donn\u00e9es et ses documents\n    sous la forme de vues. Des ACL (Access Control List correctement\n    param\u00e9tr\u00e9es permettent d\u0027appliquer des permissions \u00e0 certaines vues\n    de fa\u00e7on \u00e0 en emp\u00eacher l\u0027acc\u00e8s \u00e0 des utilisateurs sp\u00e9cifi\u00e9s.\n    Cependant, il est possible de contourner ces ACL par le biais d\u0027une\n    URL habilement construite utilisant une autre vue ayant des\n    contr\u00f4les d\u0027acc\u00e8s plus laxistes, pour visualiser un document non\n    autoris\u00e9.\n\n## Contournement provisoire\n\n1.  Pour la vuln\u00e9rabilit\u00e9 de webadmin.ntf, Lotus recommande d\u0027utiliser\n    le client Domino Designer afin de modifier les ACL qui sont\n    appliqu\u00e9es \u00e0 ce fichier. Si n\u00e9cessaire, changer le niveau de\n    s\u00e9curit\u00e9 par d\u00e9faut \u00e0 No Access.\n2.  Pour la vuln\u00e9rabilit\u00e9 concernant l\u0027acc\u00e8s \u00e0 la base de donn\u00e9es\n    compl\u00e8te par un utilisateur sans privil\u00e8ge, Lotus recommande de\n    modifier les permissions document par document afin que les\n    documents ne soient pas accessibles par des utilisateurs non\n    autoris\u00e9s.\n3.  Pour la vuln\u00e9rabilit\u00e9 concernant l\u0027acc\u00e8s aux donn\u00e9es par le biais de\n    vues d\u00e9tourn\u00e9es, Lotus recommande d\u0027appliquer des permissions\n    sp\u00e9cifiques \u00e0 chaque document au moyen de son champ lecture.\n\n## Solution\n\n1.  La version 5.0.9 de Domino corrige les permissions d\u0027acc\u00e8s par\n    d\u00e9faut au fichier webadmin.ntf.\n\n    Attention ! Si l\u0027administrateur cr\u00e9e lui-m\u00eame des fichiers\n    permettant d\u0027administrer \u00e0 distance des bases de donn\u00e9es, il doit y\n    appliquer les ACL n\u00e9cessaires pour que ceux-ci ne soient pas\n    utilisables par un utilisateur sans privil\u00e8ge (de la m\u00eame fa\u00e7on que\n    l\u0027on applique des permissions particuli\u00e8res aux scripts cgi d\u0027un\n    serveur web).\n\n2.  La version 5.0.10 corrige les permissions et supprime l\u0027acc\u00e8s \u00e0 la\n    base de donn\u00e9es par le biais de la fonctionalit\u00e9 de Navigateur par\n    D\u00e9faut.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis 189425 :",
      "url": "http://support.lotus.com/sims2.nsf/0/7ee0d1a8ec05c3bb85256afc005ae0ea"
    }
  ],
  "reference": "CERTA-2001-AVI-141",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-11-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Lecture de donn\u00e9es et ex\u00e9cution de programmes non autoris\u00e9s"
    }
  ],
  "summary": "En construisant habilement les URL dans un navigateur internet, il est\npossible d\u0027obtenir un certain nombre d\u0027informations concernant un\nserveur Domino et ses bases de donn\u00e9es.\n",
  "title": "Vuln\u00e9rabilit\u00e9s de Lotus domino Server 5.x",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Lotus 189428",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Lotus 189425",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Lotus 189429",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.