Lotus Notes под ударом. Воровство User.id

Тема в разделе "Lotus - Администрирование", создана пользователем Wanderer, 13 ноя 2006.

  1. Wanderer

    Wanderer Lotus team
    Lotus team

    Регистрация:
    23 мар 2006
    Сообщения:
    368
    Симпатии:
    14
    -------- Original Message --------
    Subject: Lotus Notes pre-login User.ID key leak
    Date: Thu, 8 Nov 2007 13:58:57 +0100
    From: Andrew Christensen


    Hello,

    We have coordinated a vuln disclosure with IBM Lotus Notes security for
    today, relating to an info leak issue with Lotus Notes where it is possible
    to:

    1. Retrieve User.ID keyfiles, without entering a valid passphrase (as is
    normally required)
    2. Validate existing Lotus Notes users login names

    This issue affects Lotus Notes installs where port 1352 is open to an
    attacker.

    Updated software is available from IBM, and other mitigation strategies
    exist.

    Full issue description:

    http://www.fortconsult.net/images/pdf/lotu...es_keyfiles.pdf

    IBM Technote# 1248026:

    http://www-1.ibm.com/support/docview.wss?r...uid=swg21248026

    - Andrew

    Andrew Christensen
    FortConsult A/S, Tranevej 16-18, DK-2400 Copenhagen
     
  2. Constantin A Chervonenko

    Constantin A Chervonenko Well-Known Member

    Регистрация:
    30 май 2006
    Сообщения:
    1.288
    Симпатии:
    0
    Гы!..
    И где здесь "дыра"? Самая главная дыра - это админ, который мышей не ловит.
    "Уж сколько раз твердили миру" - не держите id-шники в общедоступном месте! Сколько я их "украл" из names.nsf и потом демонстрировал изумленному юзеру "взлом" Нотеса :unsure:

    Упомянутый фикс слегка затрудняет жизнь внешнему взломщику и ничуть не мешает засланному казачку (коий и есть осн.враг)
     
  3. Wanderer

    Wanderer Lotus team
    Lotus team

    Регистрация:
    23 мар 2006
    Сообщения:
    368
    Симпатии:
    14
    Согласен. :huh: Довольно глупо держать id-файлы в общедоступном месте, но тем не менее - такой метод хранения всё же используется. Так что, мало ли, может пригодится кому.
     
Загрузка...

Поделиться этой страницей