[Warning] Kritische Sicherheitslücke in IBM Lotus Notes
Matthias Fraidl
fraidl at cert.at
Thu May 2 18:46:31 CEST 2013
2. Mai 2013
Angesichts der Schwere der Lücke und der hohen Verbreitung des Mail-
und Workgroup-Systems Lotus Notes von IBM bittet CERT.at um Beachtung
der folgenden Hinweise.
Beschreibung
Wie cxsecurity[1] meldet, akzeptiert der E-Mail Client von Lotus
Notes JavaScript-Code und <applet>-Tags im HTML-Code, wodurch es
einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen
oder Java-Applets von externen Quellen nachzuladen.
Gepaart mit einem Ausbruch aus der Java-Sandbox, der mit der
standardmäßig mitinstallierten Version 6 von Oracle Java auch trivial
möglich sein sollte (vergleiche z.B.: Warnungen von CERT.at
bezüglich Oracle Java[2]), könnte somit das gesamte System mit
bösartiger Software verseucht werden.
IBM hat dazu bereits ein [3]Security Bulletin veröffentlicht.
Betroffene Systeme
* IBM Lotus Notes 8.0.x
* IBM Lotus Notes 8.5.x
* IBM Lotus Notes 9.0
Abhilfe
Bis ein Patch für diese Lücke zur Verfügung gestellt wird, empfehlen
wir die Ausführung von JavaScript und Java händisch zu unterbinden.
Dies kann man durch Setzen der folgenden Optionen in der
Konfigurationsdatei notes.ini erreichen:
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0
Allgemeiner Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
References
1. http://cxsecurity.com/wlb/WLB-2013050001
2. https://www.google.at/?q=site:www.cert.at+java
3. http://www-01.ibm.com/support/docview.wss?uid=swg21633819
--
// CERT Austria - Matthias Fraidl <fraidl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130502/ea505376/attachment.sig>
More information about the Warning
mailing list