IBM warnt vor 2 Jahre altem Fehler in ZIP-Bibliothek von Notes
Wer noch Notes-Clients der Versionen 5, 6.0 oder 6.5.1 einsetzt, sollte schleunigst reagieren. Wie jetzt bekannt wurde, schlummert in der dort eingesetzten ZIP-Bibliothek ein seit zwei Jahren bekannter kritischer Fehler.
IBM warnt davor, dass speziell präparierte ZIP-Dateien mit überlangen Dateinamen in Notes-Clients auf Windows-Systemen einen Pufferüberlauf auslösen können, bei dem Schadcode ausgeführt wird. Dazu muss der Anwender den Dateianhang mit der eingebauten View-Funktion öffnen.
Der Fehler findet sich in der Bibliothek dunzip32.dll aus dem Paket DynaZip von InnerMedia, das auch in einer Reihe von anderen Produkten zum Einsatz kommt. So aktualisierte RealNetworks den davon betroffenen RealPlayer bereits im Oktober 2004. Die Notes-Versionen 5.0.10, 6.0 und 6.5.1 enthalten eine Version, die ein Datum aus dem Jahr 1999 trägt und ebenfalls anfällig ist. Laut der Sicherheitsnotiz von Juha-Matti Laurio wurde IBM bereits im November 2004 benachrichtigt, der Konzern bestätigte die Existenz der Lücke. In den Ende 2005 ausgelieferten Versionen 6.5.5 und 7.0 wurde der Fehler offenbar stillschweigend beseitigt.
Erst jetzt – nahezu zwei Jahre nach der Entdeckung – erfolgt eine koordinierte Veröffentlichung des Sicherheitsproblems durch IBM, Juha-Matti Laurio und das US-CERT. Eine Erklärung, warum dieser Prozess fast zwei Jahre gedauert hat, liefert keine der Veröffentlichungen. Der Versuch, dieses Sicherheitsloch fast zwei Jahre vor der Öffentlichkeit und eventuell gefährdeten Kunden geheim zu halten, ist insbesondere deshalb eine fragwürdige Vorgehensweise, weil jederzeit weitere, möglicherweise böswillige Personen darüber stolpern konnten. Dazu musste nur jemand, der eines der damals veröffentlichten Advisories gelesen hatte, einen Blick auf das Datum der ZIP-Bibliothek seines Notes-Clients werfen. Verantwortungsvoller Umgang mit Sicherheitslücken – in Security-Kreisen gern als Responsible Disclosure bezeichnet – sieht anders aus.
Wer jetzt noch ältere 6.5er-Clients einsetzt, sollte diese jedenfalls nun schleunigst aktualisieren oder zumindest, wie von IBM als Workaround vorgeschlagen, die Bibliothek dunzip32.dll aus einem System mit 6.5.5 auf die anfälligen Rechner kopieren. Ob dieser Trick auch bei den nicht mehr unterstützen Clients aus Version 5 funktioniert, verrät IBM nicht. Im Zweifelsfall sollte man die ZIP-Vorschaufunktion abschalten oder ZIP-Anhänge auf einem Gateway ausfiltern.
Siehe dazu auch: (ju)
- IBM Lotus Notes DUNZIP32.dll Buffer Overflow Vulnerability, von Juha-Matti Laurio
- InnerMedia DynaZip library vulnerable to buffer overflow via long file names, Vulnerability Note des US-CERT
- IBM Lotus Notes File Viewer Overflow Vulnerability, Technote von IBM
