Thema: IBM schließt fünf kritische Lücken in Lotus Notes

[SiLæncer]

Der Sicherheitsdienstleister Secunia hat in IBMs Lotus Notes 6.x und 7.x sechs Sicherheitslücken entdeckt. Fünf davon beruhen auf Buffer Overflows, worüber sich laut der Fehlerbeschreibungen Schadprogramme in einen PC schleusen und mit Nutzerrechten ausführen lassen sollen. Ob dies in eigenen Tests gelungen ist, lässt Secunia offen. Laut IBM, die die Lücken in einem eigenen Advisory bestätigt, muss ein Opfer einen manipulierten Dateianhang öffnen, um sich etwa mit einem Trojaner zu infizieren. Der Hersteller hat die Fehler in den Versionen 6.5.5 und 7.0.1 beseitigt.

Zwei der Buffer Overflows sind in Routinen zur Inhaltsanzeige von ZIP- und TAR-Archiven zu finden, ein weiterer steckt in den Funktionen zum Encoden von UUE-Dateien. Als Alternative zum Patch schlägt IBM daher vor, die Anzeige einfach zu deaktivieren. Gleiches gilt für die zwei Pufferüberlaufe im HTML-Speedreader zur Anzeige von HTML-Dokumenten. Dazu soll der Anwender die verwundbaren Dateien kvarce.dll, uudrdr.dll, htmsr.dll und tarrdr.dll einfach per Hand löschen. Einzelheiten sind dem IBM-Advisory zu entnehmen.

Des Weiteren hat IBM vier Schwachstellen im Lotus Domino iNotes Client behoben, mit denen einem PC fremde JavaScripte untergeschoben werden konnten. Betroffen sind Lotus Domino 6.x, 7.x sowie Lotus Domino Web Access (iNotes) 6.x und 7.x.

Siehe dazu auch:

    * IBM Lotus Notes Multiple Vulnerabilities, Fehleranalyse von Secunia
    * Potential Buffer Overflow and Directory Traversal Vulnerabilities in Lotus Notes File Viewers, Fehlerreport von IBM
    * IBM Lotus Domino iNotes Client Script Insertion Vulnerabilities, Fehleranalyse von Secunia
    * Potential Script Insertion Vulnerabilities in Domino Web Access, Fehlerreport von IBM

Quelle und Links : http://www.heise.de/security/news/meldung/69468

[SiLæncer]

Lotus Notes hat ab Version 5 eine Debug-Funktion, die dazu geeignet ist, beim Wechseln des Benutzerpasswortes eine Datei mit dem neuen Passwort im Klartext zu schreiben. Diese Funktion dient eigentlich dazu, die Bewertung der Passwortgüte transparent zu machen. Trägt man in der Konfigurationsdatei Notes.INI zwei zusätzliche Zeilen ein, so protokolliert Notes die Bewertung:
Anzeige

Code: [Auswählen]

KFM_ShowEntropy=1
Debug_Outfile=c:\testvowe.txt
Beim nächsten Passwortwechsel erstellt Notes die Datei mit folgendem Inhalt:

Code: [Auswählen]

testvowe_TLANB_2007_07_18@17_07_33.txt
18.07.2007 17:07:36 Lotus Notes client started
18.07.2007 17:07:47 Index update process started
Entering SpellCheckInit
entropy.c SpellCheckAccess Get 13A834 0
Initializing spell checking code
SPELLInitialize succeeded; spell checking DLL loaded
SPELLInitMainDict succeeded
SPELLInitUserDict succeeded
Password Entropy: spell checking code initialized
SpellCheckInit succeeded
Bytes per char: 1
Distribution base multiplier: 6
Resulting entropy limit: 60
[c]alp[c]: 0
[c]alp[t]: 0
[-]alp-s[-]: 18
[t]nalp-s[t]: 18
[t]alp[e]: 18
[t]alp[s]: 18
[t]alp[t]: 18
Testing word: [test]
Searching for [test]
Found [test], worth 12 bits
[2]alp-s[2]: 36
[2]nalp[3]: 42
[2]nalp[4]: 48
Entropy as determined by the state machine: 48

Entropy Limit: 60
Current Entropy: 48
Final Entropy: 48

Final Entropy: 48 bits, 12 chars
entropy.c SpellCheckAccess Put 422EB60 F01069BD
Das Passwort findet sich in den Zeilen nach "Resulting entropy limit: 60" jeweils als Einzelbuchstaben in eckigen Klammern: ct-test234.

Der Debug-Parameter wurde von IBM als Support-Dokument veröffentlicht, vor kurzem jedoch wieder entfernt. Das Dokument ist derzeit noch im Google Cache zu lesen.

Da die Datei Notes.INI auf der Festplatte des Benutzers manipuliert werden muss, benötigt man zunächst einen physischen Zugang zum Rechner. Es gibt jedoch eine Reihe von Möglichkeiten innerhalb von Notes, diese Datei zu manipulieren. Diese lassen sich zugleich als Abwehrmaßnahme gegen diese Schwachstelle nutzen:

   1. Seit Notes 7 können Einstellungen in der NOTES.INI über Workstation Policies vorgenommen werden. Auf diesem Wege läßt sich die Einstellung "KFM_ShowEntropy=0" erzwingen.
   2. In Notes 6 gibt es eine undokumentierte Möglichkeit, die gleiche Einstellung vorzunehmen. Dazu muss das Policy-Dokument um ein Feld mit dem Namen $PrefKFM_ShowEntropy mit dem Wert 0 erweitert werden.
   3. Alternativ kann die Einstellung über dieses kurze Lotuscript gesetzt werden:

Code: [Auswählen]

      Dim s As New NotesSession
      Call s.SetEnvironmentVar("KFM_ShowEntropy","0", true)
      Lädt man dieses Skript automatisch beim Öffnen der Maildatenbank aller Benutzer, so wird diese Einstellung jedesmal erneut vorgenommen. Siehe dazu auch dieses Support-Dokument von IBM.

Notes schützt mit dem Passwort den Zertifikatspeicher Notes.ID, den jeder Benutzer zur Authentisierung gegenüber Notes nutzt. Diese Datei wird mit dem Benutzer-Passwort ver- beziehungsweise entschlüsselt. Notes.ID speichert mit den Notes-Zertifikaten auch die privaten Schlüssel des Benutzers sowie gegebenenfalls X.509-Zertifikate. Es ist deshalb eminent wichtig, dass niemand gleichzeitig eine Kopie von Passwort und Notes.ID anfertigt. Sollte jemand die Logdatei und die Notes.ID gleichzeitig in Besitz nehmen, kann er sich jederzeit gegenüber Notes ausweisen.

Auch wenn sich der Missbrauch dieser Debug-Funktion durch administrative Eingriffe weitgehend ausschließen lässt, so ist ein Notes-Administrator mit geeigneten Rechten in der Lage, die Passwörter aller Benutzer auszuspähen.

Anders als etwa bei Windows ist es für den Notes-Administrator nicht möglich, ein vergessenes Passwort zurückzusetzen, da es nur für die Entschlüsselung der Notes.ID benötigt wird. Einige Notes-Kunden haben deshalb aufwändige Lösungen, die Passwort-Änderungen zentral ablegen, eine Wiederherstellung von Passwörtern aber nur mittels eines Vieraugenprinzips in Zusammenarbeit von Administration und Revision ermöglichen. Diese Sicherheit wird durch die Debug-Funktion unterlaufen.

Quelle : www.heise.de

[SiLæncer]

Mehrere Mail-Sicherheits- und Data-Loss-Prevention-Produkte von Symantec weisen eine Schwachstelle beim Parsen von Dateien auf, über die sich ein System komprimittieren lässt. Ursache des Problems ist ein Integer respektive Heap Overflow in der Software-Bibliothek KeyView SDK des Herstellers Autonomy, die Symantec in seinen Produkten zur Verarbeitung von bestimmten Dokumentenformaten einsetzt. Konkret ist eine Funktion zur Verarbeitung von Dateien im Excel-97-Format in der Datei xlssr.dll verwundbar, durch die sich Code einschleusen und starten lässt. Für einen erfolgreichen Angriff genügt es offenbar, eine E-Mail mit einer präparierten Excel-Tabelle im Anhang an ein System zur Verarbeitung zu schicken.

Betroffen sind unter anderem Symantec Mail Security for Domino 8.0, Symantec Mail Security for Microsoft Exchange 6.x, Symantec BrightMail Appliance 8.0.1 sowie Symantec Data Loss Prevention Enforce/Detection Servers for Windows 9.0.1. Eine komplette Liste ist im Originalbericht von Symantec zu finden. Der Hersteller hat Hotfixes zum Schließen der Lücke bereit gestellt.

Neben Symantec ist auch IBMs Lotus Notes von dem Problem betroffen, da die KeyView SDK dort ebenfalls zum Einsatz kommt. IBM hat einen eigenen Fehlerbericht veröffentlicht, wonach Lotus Notes 7.x, 8.x und 8.5.x verwundbar sind. Die Lotus-Notes-Server sind nicht anfällig. Auf den Clients muss der Anwender allerdings einen Anhang manuell mit dem Viewer öffnen, um Opfer zu werden. Der Hersteller bietet Patches für 8.5.x, 8.0x und 7.x an. Für die Versionen 6.x und 5.x empfiehlt er indes, den Viewer zu deaktivieren. Der Bericht von IBM enthält eine Anleitung dafür.

Lücken in der KeyView SDK zwangen Symantec und IBM schon im April 2008 und Oktober 2007 zur Herausgabe von Sicherheits-Updates.

Quelle : www.heise.de

[SiLæncer]

Wenn man aus einer unbekannten Quelle eine Datei mit potentiell schädlichem JavaScript bekommt – was wäre das Dümmste was man damit machen könnte? Man könnte das Script zum Beispiel lokal abspeichern und dann auf dem normalen Arbeitssystem mit dem Internet Explorer öffnen. Der Browser betrachtet das Skript dann nämlich als lokal installiert und lässt es in der dazugehörigen Sicherheitszone laufen. Das bedeutet, es darf so gut wie alles – also etwa beliebige lokale Dateien lesen oder auch ein komplettes Spionageprogramm aus dem Internet nachladen und starten.

Genau das macht Lotus Notes, wenn dessen einbauter RSS-Feed-Reader auf eingebettetes JavaScript stößt. Wer also damit einen potentiell bösartigen RSS-Feed abonniert hat, hat sich damit ein heftiges Sicherheitsloch eingehandelt. Interessant auch die aus der Timeline abzulesende Reaktion von IBM. Nachdem die Schweizer Firma Scip den IT-Riesen bereits im April über das Problem informiert hatte, erhielt sie nach eigenen Aussagen im August auf Nachfragen zum aktuellen Status keine Antwort mehr und veröffentlichte deshalb kürzlich eine Beschreibung des Problems unter anderem auf einer Sicherheits-Mailingliste.

Wenige Tage danach gibt es nun eine Antwort von IBM, in der der Hersteller die Existenz des Problems in der Standardkonfiguration von IBM Lotus Notes 8.x bestätigt. Es gäbe auch einen Patch, heißt es da; um den zu erhalten muss man jedoch einen Service Request beim IBM Support einreichen. In der Version 8.5.1 soll der Fehler auch behoben sein; wann die zu erwarten ist, lässt sich der Antwort jedoch nicht entnehmen.

Quelle : www.heise.de