IBMs Groupware-Lösung Lotus Domino lassen sich in der Standardkonfiguration durch die Webmail-Komponente Benutzer-Passwort-Hashes entlocken. Da im Internet Passwort-Cracker für Domino zu finden sind, ließen sich damit gegebenenfalls die Benutzerpasswörter errechnen, so ein Security-Advisory von Cybsec.
Ein angemeldeter Benutzer kann sich den Adressbucheintrag von anderen Nutzern anzeigen lassen und erhält im Seitenquelltext den zugehörigen Passwort-Hash. Das Formularfeld dazu ist allerdings leer. Auch andere scheinbar leere Formularfelder enthalten im Quelltext Daten aus der names.nsf, die auf einem Domino-System als Hauptdatenbank und globales Adressbuch dient.
Als von dem Problem betroffen führt Cybsec R5 und R6 von Lotus Notes auf, R4 wurde nicht überprüft. Als Workaround empfiehlt das Advisory, im Designer das $PersonalInheritableSchema-Unterformular zu öffnen und bei den Feldern $dspHTTPPassword und HTTPPassword in den Eigenschaften "Hide paragram from" die Option "Web browsers" abzuwählen. Anschließend soll in dem "Person"-Formular in den Formulareigenschaften "Generate HTML for all fields” abgeschaltet werden. Gemäß dem Advisory sollte auch der letzte Schritt alleine ausreichen.
Quelle und Links :
http://www.heise.de/security/news/meldung/62147
