Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Lotus Sametime exponiert Passwörter im Klartext [Update]

Plug-ins für Lotus Sametime können das Passwort des angemeldeten Benutzers über eine API-Funktion auslesen und verwenden.

In Pocket speichern vorlesen Druckansicht 53 Kommentare lesen
Lesezeit: 2 Min.
Security
Von

Der Instant-Messaging-Experte Carl Tyler hat auf seiner Website eine Sicherheitslücke in IBMs Instant-Messaging-Software Lotus Sametime offenbart, die bisher nicht thematisiert wurde, obwohl sie im Sametime-API dokumentiert ist. So kann ein Sametime-Plug-in vom Sametime-Client das Kennwort des Benutzers im Klartext abfragen. Das ist insbesondere deshalb kritisch, weil Sametime in der Regel auf ein Enterprise Directory zurückgreift, das auch andere Anwendungen schützen soll. Das kann ein Active Directory, das Domino Directory oder irgendein anderes LDAP-Verzeichnis sein.

Der Lotus Sametime-Client basiert seit der Version 7.5 auf Lotus Expeditor, einer IBM-Distribution der Eclipse Rich Client Platform. Diese Plattform erlaubt es Anwendern, den Sametime-Client um selbstgeschriebene oder zugekaufte Plug-ins zu erweitern. In der ersten Version 7.5 reichte es aus, das Plug-in in den Verzeichnisbaum zu kopieren; seit der Version 7.51 muss das Plug-in über den Client registriert werden. Aktuell liefert IBM die Version 8.0 aus; im Laufe des Jahres soll 8.5 folgen.

Die Installation von Plug-ins lässt sich über Policies vom Server aus steuern. So kann der Administrator Plug-ins auf alle Clients laden oder etwa dem Anwender verbieten, Plug-ins selbst zu installieren oder deinstallieren. Die Policies lassen sich jedoch dadurch umgehen, dass sich der Anwender in einer anderen Community anmeldet, welche die Installation von Plug-ins nicht kontrolliert. Einmal installierte Plug-ins bleiben erhalten.

Die API-Funktion getpassword() wurde in Sametime 7.5 eingeführt, um in bestimmten Szenarien eine automatische Anmeldung (SSO, Single Sign-On) zu ermöglichen. Normalerweise wird in der IBM-Welt das LTPA-Token für diesen Dienst genutzt. Das funktionierte in 7.5 noch nicht, so dass IBM diese Passwort-Abfrage einführte. Seit der Version 7.5.1 aber ist Sametime in der Lage, das LTPA-Token zu verwenden.

Die Funktion getpassword() liefert nur dann das Kennwort, wenn sich der Anwender am Sametime-Client selbst angemeldet hat. Benutzt er stattdessen eine LTPA-Authentisierung oder den im Notes-Client eingebetteten Sametime-Client mit gemeinsamer Anmeldung, dann liefert die Funktion das Kennwort nicht, da es dem Sametime-Client nicht bekannt ist.

Update:
Mittlerweile gibt es eine Stellungnahme von IBM zu diesem Thema, die aber inhaltlich nichts Neues enthält. (vowe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten