« De winnende Composite Application | Main| "Click to activate" binnenkort weer overbodig »

Nog meer security-fixes

QuickImage Category  
Bookmark : del.icio.us  Technorati  Digg This  Add To Furl  Add To YahooMyWeb  Add To Reddit  Add To NewsVine 

Vanochtend meldde ik al enkele security-issues in Lotus Notes en Domino, die opgelost zijn in versies ND7.0.3 en ND8.0. Inmiddels zijn er nog een paar technotes boven komen drijven. Kennelijk is ND7.0.3 juist ook een release waarin veel security-issues opgelost worden! Wat me opvalt aan de technotes, is dat dit issues zijn die aangemeld zijn door particulieren én organisaties. Kennelijk gaat IBM momenteel goed om met signalen uit die hoeken, van security-analisten en dergelijke, want de issues blijven 'onder ons' totdat IBM een fix uitbrengt. Dat betekent dat de communicatie tussen de aanmelders en IBM goed verloopt, en dat er wederzijds genoeg vertrouwen is. Dat vind ik een positief teken.

De aanvullende lijst van issues:

  • Een buffer overflow in de Lotus Notes file viewer, te exploiteren via speciaal vormgegeven bestanden met de extensies .mif, .sam, .wpd of .doc. De issues zijn opgelost opgelost in ND7.0.3, ND8.0 en ND8.0.1.Dat laatste klinkt wat vreemd misschien, maar er zijn meerdere exploitatie-scenario's, waarvan er enkele nog openstaan om in ND8.0.1 opgelost te worden. Het probleem met .doc is overigens wél opgelost in ND7.0.3 en ND8.0.
  • Nog een buffer overflow in de Lotus Notes file viewers, opnieuw te exploiteren via speciaal vormgegeven bestanden, met de extensies .exe, .mif, .ag, .aw, .doc, .dll en .rtf. Deze issues zijn allemaal opgelost in ND7.0.3 en ND8.0.
  • Een buffer overflow in Lotus Notes met HTML messages. Opnieuw gaat het om een probleem dat te exploiteren valt via een speciaal vormgegeven HTML-geformatteerd emailtje; de gebruiker moet dat bericht vervolgens forwarden, replyen-met-history, of de inhoud op zijn clipboard zetten om de buffer overflow te kunnen uitvoeren. Bij deze exploit komt dus ook nog wat 'social engineering' kijken! Dit issue is eveneens opgelost in ND7.0.3 en ND8.0.
  • Er blijkt een manier te zijn om de Execution control list te omzeilen. De ECL bewaakt de uitvoering van code op iedere Lotus Notes-client. De ECL hoort, bij uitvoering van code wiens signature niet herkend wordt, een waarschuwing te geven, zodat de gebruiker zelf kan bepalen of de code uitgevoerd mag worden of niet. Door bepaalde code in een Lotus Notes navigator uit te laten voeren, kan die ECL-waarschuwing onderdrukt worden, waardoor uitvoering van de niet-erkende code wél automatisch plaats kan vinden. Dit speelt dus alleen in Notes-databases of template files (.nsf en .ntf). Het issue zou dan ook het eenvoudigst misbruikt kunnen worden door mensen die rechten hebben om nieuwe (versies van) applicaties te plaatsen op een Domino infrastructuur. Dit issue is opgelost in ND7.0.3 en ND8.0.

Bij de meeste issues wordt niet alleen genoemd in welke versie één en ander opgelost is, maar worden ook workarounds gegeven. Afhankelijk van uw situatie kan het wijs zijn die eens te bekijken. Mochten er nog meer relevante technotes verschijnen, dan brengen we u natuurlijk hier op de hoogte.

Posted by Gerco Wolfswinkel On 24-10-2007 | Digg This |

Post A Comment

:-D:-o:-p:-x:-(:-):-\:angry::cool::cry::emb::grin::huh::laugh::lips::rolleyes:;-)

OpenNTF random projects

blogs

IBM-blogs
Domino server team-blog
Ed Brill
Alan Lepofsky: gebruikstips
InsideLotus weblog
Mary Beth Raven: Notes 8
Adam Gartenberger
Lotus Developerworks teamblog
"Composite applications for People" teamblog
synch.rono.us: connections blog

Eightbar - IBM virtuele werelden

overige Lotus-blogs
Chris Linfoot: SMTP-specialist
Carl Tyler, Sametime
Chris Miller: "I do notes - and sleep"

PlanetLotus