[Warning] Kritische Sicherheitslücke in IBM Lotus Notes

Matthias Fraidl fraidl at cert.at
Thu May 2 18:46:31 CEST 2013


2. Mai 2013

   Angesichts der Schwere der Lücke und der hohen Verbreitung des Mail-
   und Workgroup-Systems Lotus Notes von IBM bittet CERT.at um Beachtung
   der folgenden Hinweise.

Beschreibung

   Wie cxsecurity[1] meldet, akzeptiert der E-Mail Client von Lotus
   Notes JavaScript-Code und <applet>-Tags im HTML-Code, wodurch es
   einem Angreifer ermöglicht wird, JavaScript-Code direkt auszuführen
   oder Java-Applets von externen Quellen nachzuladen.
   Gepaart mit einem Ausbruch aus der Java-Sandbox, der mit der
   standardmäßig mitinstallierten Version 6 von Oracle Java auch trivial
   möglich sein sollte (vergleiche z.B.: Warnungen von CERT.at
   bezüglich Oracle Java[2]), könnte somit das gesamte System mit
   bösartiger Software verseucht werden.
   IBM hat dazu bereits ein [3]Security Bulletin veröffentlicht.

Betroffene Systeme

     * IBM Lotus Notes 8.0.x
     * IBM Lotus Notes 8.5.x
     * IBM Lotus Notes 9.0

Abhilfe

   Bis ein Patch für diese Lücke zur Verfügung gestellt wird, empfehlen
   wir die Ausführung von JavaScript und Java händisch zu unterbinden.
   Dies kann man durch Setzen der folgenden Optionen in der
   Konfigurationsdatei notes.ini erreichen:
	EnableJavaApplets=0
	EnableLiveConnect=0
	EnableJavaScript=0

Allgemeiner Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References

   1. http://cxsecurity.com/wlb/WLB-2013050001
   2. https://www.google.at/?q=site:www.cert.at+java
   3. http://www-01.ibm.com/support/docview.wss?uid=swg21633819
-- 
// CERT Austria - Matthias Fraidl <fraidl at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 901 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20130502/ea505376/attachment.sig>


More information about the Warning mailing list