Une faille existerait sur les serveurs Lotus Domino, qui pourrait être exploitée pour entraîner des défaillances irrémédiables, indique une compagnie spécialisée. Mais Big Blue ne l'entend pas de cette oreille.
Le Déni de Service (DoS, ou Denial of Service) concernerait les versions 6.5.1 et 6.0.3, et plus particulièrement la gestion des e-mail et des emplois du temps, selon la société iDefense, qui ajoute que l'exploitation de ces failles permettrait une attaque à distance, et sans authentification préalable, sur les services Internet du serveur, empêchant toute connection. Ce genre d'assaut serait facile à réaliser, et pourrait se répéter suffisamment souvent pour rendre le serveur touché définitivement inopérant.
IBM, de son côté, réfute les accusations, indiquant sur son site de support technique n'avoir jamais pu reproduire la faille mentionnée, malgré de nombreuses tentatives.
A propos d'iDefense, la responsable de la sécurité de Domino Server chez IBM assure que sa compagnie tient iDefense en haute estime, travaille régulièrement avec elle, et que l'incapacité de reconstituer cette faille tient sans doute à la différence de matériel de test entre les deux sociétés.
iDefense aurait notifié IBM de cette faille en février dernier, ouvrant une période intense de test aux conclusions contradictoires, mais l'organisme de sécurité, partenaire de longue date d'IBM, est persuadé que la faille est bien réelle.
Ce genre de désaccord sur la réalité d'un problème de sécurité est assez rare, de l'avis même des deux protagonistes.
Cette faille affecterait les versions les plus anciennes de Lotus Domino, équivalentes à l'Exchange de Microsoft; elles supportent plusieurs systèmes d'exploitations, et gèrent notamment les activités de messageries, les agendas et la fonction de calendrier. Les deux versions concernées sont apparues en février 2004, et ont depuis connu deux évolutions majeures: 6.5.3 en octobre dernier, et 6.5.4 cette semaine.
Techniquement, la faille reposerait sur l'envoi d'une attaque au moyen d'une longue suite de caractères ASCII, précédée du préfixe /cgi-bin/ et envoyée au serveur vulnérable. La saturation de la mémoire qui s'ensuivrait accaparerait toutes les ressources de la machine, causant un Déni de Service.
En l'absence de parade efficace, iDefense conseille de prendre la précaution suivante: limiter l'accés à Internet aux seules machines équipées d'un pare-feu et/ou d'une liste des accés autorisés.
